Das schädliche Skript lag unter User:Ololoshka562/test.js und war nach Angaben von BleepingComputer erstmals im März 2024 hochgeladen worden. Es soll mit Skripten in Verbindung stehen, die bei früheren Angriffen auf Wiki-Projekte zum Einsatz kamen.

Auf Grundlage der von BleepingComputer eingesehenen Bearbeitungshistorien wird angenommen, dass das Skript in diesem Zeitraum erstmals von einem Mitarbeiterkonto der Wikimedia Foundation ausgeführt wurde, während dieses die Funktionsweise von Nutzer-Skripten testete. Ob das Skript absichtlich ausgeführt, versehentlich beim Testen geladen oder durch ein kompromittiertes Konto ausgelöst wurde, ist derzeit nicht bekannt.

Nach der Auswertung des archivierten Skripts durch BleepingComputer verbreitet sich der Code selbst, indem er schädliche JavaScript-Loader sowohl in die common.js eines angemeldeten Nutzers als auch in Wikipedias globale MediaWiki:Common.js einschleust, die von allen verwendet wird. MediaWiki erlaubt sowohl globale als auch nutzerspezifische JavaScript-Dateien, die im Browser der Editoren ausgeführt werden, um die Oberfläche des Wikis anzupassen.

Nachdem das ursprüngliche test.js-Skript im Browser eines angemeldeten Editors geladen war, versuchte es, mit dessen Sitzung und Berechtigungen zwei Skripte zu verändern. Gelang die Änderung des globalen Skripts, führte jeder, der es lud, automatisch den Loader aus, der anschließend dieselben Schritte wiederholte – einschließlich der Infektion der eigenen common.js.

Das Skript verfügt zudem über die Fähigkeit, eine zufällige Seite über den Befehl Special:Random anzufordern und sie zu bearbeiten, um ein Bild sowie einen versteckten JavaScript-Loader einzufügen. Laut der Analyse von BleepingComputer wurden rund 3.996 Seiten verändert und bei etwa 85 Nutzern die common.js-Datei ersetzt. Wie viele Seiten gelöscht wurden, ist unbekannt.

Während sich der Wurm ausbreitete, schränkten die Ingenieure das Bearbeiten projektübergreifend vorübergehend ein, setzten die schädlichen Änderungen zurück und entfernten Verweise auf die eingeschleusten Skripte. Bei der Bereinigung machten Mitarbeiter der Wikimedia Foundation auch die common.js zahlreicher Nutzer rückgängig. Die betroffenen Seiten wurden unterdrückt und sind in den Änderungshistorien nicht mehr sichtbar.

Zum Zeitpunkt der Berichterstattung war der eingeschleuste Code entfernt und das Bearbeiten wieder möglich. Einen detaillierten Bericht dazu, wie genau das ruhende Skript ausgeführt wurde oder wie weit sich der Wurm vor seiner Eindämmung verbreitete, hat Wikimedia bislang nicht veröffentlicht. BleepingComputer wandte sich mit Fragen zu dem Vorfall an Wikimedia, erhielt jedoch zunächst keine Antwort.