Linux 上广泛使用的无损压缩软件包 xz-utils 被该项目的一位维护者秘密植入了后门,后门旨在绕过签名验证未经授权访问开放 SSH 端口的系统。存在后门的版本是 v5.6.0 和 v5.6.1,后门版本尚未进入 Linux 发行版的生产版本,因此影响范围有限,主要影响的是测试版本的 Debian 和 Red Hat 发行版,以及 Arch 和 openSUSE 等。攻击者被认为处心积虑,潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号,之后积极参与了 xz-utils 的开发,获取信任之后成为了该项目的维护者之一。过去几个月,JiaT75 开始非常巧妙的悄悄加入恶意代码,“分阶段通过添加测试用例数据为掩盖放入了恶意代码,并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本,在库中添加了劫持某 OpenSSL 函数的功能,添加了一个 SSH 后门。”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者,以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug,会导致崩溃等,此人随后与 Linux 开发者们频繁联络通信,试图修复问题,并建议他们发现问题后不要公开。目前 JiaT75 的账号以及 xz-utils 库都已被 GitHub 关闭。
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27
https://news.ycombinator.com/item?id=39865810
https://twitter.com/delphij/status/1773897849107095695