Une page Wikipédia a été infectée par un malware mineur de crypto-monnaie

Récemment, plusieurs pages ont été l’objet d’une injection de script malveillant dans l'en-tête du code HTML (avant la balise <html>).

Ce code est généré par JJEncode, un logiciel connu pour le chiffrement de codes malveillants. Des chercheurs ont remarqué l’utilisation de cet outil par un nouveau mineur de crypto-monnaie dénommé Minr pour obfusquer les scripts qu'il téléchargeait sur plusieurs sites Web.

Ce logiciel malveillant a également été utilisé lors de la publication d’un ensemble de modifications sur un article de Wikipédia. En effet, un lien vers un site tiers infecté par le malware chargé depuis le domaine stati[.]bid a été inséré dans cet article. Ceci a été corrigé par un autre utilisateur.

Après le déchiffrement du script, il s’est avéré que le malware n’utilise nullement Wikipédia comme vecteur de propagation mais que c'était simplement une coïncidence qu'un utilisateur introduise le lien du site infecté.

Le risque est donc toujours présent. Ce type d'attaque affecte principalement les sites WordPress où Minr est injecté dans les premières lignes du fichier "header.php" du thème utilisé.

Il est recommandé de surveiller l’intégrité des fichiers des sites web afin de se protéger contre ce type d’attaques.