🆕👾 Скандал в опенсорсе: разработчик xz внедрил бэкдор в популярные проекты

Разработчик популярного архиватора xz внедрил бэкдор в пакет, получив права мэйнтейнера. Вредоносный код попал в релизы xz и проекты, использующие его, включая ядро Linux.

Разработчик Jia Tan получил права мэйнтейнера пакета xz в 2022 году и внедрил бэкдор:

• Ему помогали виртуальные персонажи Jigar Kumar и Hans Jansen.
• Они критиковали прошлого мэйнтейнера и продвигали нужные Jia Tan изменения.

Бэкдор реализован через механизм IFUNC и M4-макросы:

• Jia Tan добавил поддержку IFUNC
• M4-макросы для активации спрятаны в архивах релиза 5.6.0.

Скомпрометированы не только релизы xz, но и проекты на его основе:

• Бэкдор попал в ядро Linux через пакет XZ Embedded.
• Jia Tan также мэйнтейнер пакетов xz-java и xz-embedded.

Бэкдор раскрыт благодаря сбоям при отладке в Valgrind:

• Разработчики пытались это исправить в версии 5.6.1.
• Сотрудник Microsoft, участвующий в разработке PostgreSQL, выявил бэкдор.

Прошлый мэйнтейнер xz подтвердил создание скомпрометированных релизов Jia Tan:

• Репозитории на GitHub и поддомен xz.tukaani.org контролировались Jia Tan.
• Основной сайт и репозитории на tukaani.org не были скомпрометированы.

Источники: opennet.ru, boehs.org

👾 Библиотека хакера

Больше полезных материалов вы найдете на нашем телеграм-канале «Библиотека хакера»

Интересно, перейти к каналу

(function () { let link = document .getElementById ("dc50cc17-20a0-4a67-b0de-c9e09f43aa3b-https://proglib.io/w/66272f5f-13"); if (! link) return; let href = link .getAttribute ("href"); if (! href) return; let prefix = link .dataset .prefix; let action = link .dataset .action; link .addEventListener ("click", function (e) { let data = new FormData (); data .append ("url", href); apiFetch (action, { method: "POST", body: data }) .then (function (res) {}) .catch (function (err) { console .error (err); }); }) })();