Внедрение бэкдора
Jia Tan, используя сложные механизмы IFUNC и M4-макросы, реализовал бэкдор в архивах релиза xz версии 5.6.0. Помимо этого, он занимался мэйнтейном пакетов xz-java и xz-embedded, что позволило распространить вредоносный код ещё шире.
Соучастники
В процессе внедрения бэкдора Jia Tan активно поддерживали виртуальные персонажи Jigar Kumar и Hans Jansen. Они критиковали действия предыдущего мэйнтейнера и способствовали продвижению изменений, необходимых для реализации злонамеренного плана.
Обнаружение бэкдора
Бэкдор был обнаружен благодаря сбоям, возникшим во время отладки с использованием Valgrind. Разработчики пытались устранить проблему в обновлённой версии 5.6.1, однако сотрудник Microsoft, занимавшийся разработкой PostgreSQL, выявил наличие бэкдора.
Подтверждение компрометации
Предыдущий мэйнтейнер xz подтвердил факт создания скомпрометированных релизов под руководством Jia Tan. Репозитории на GitHub и поддомен xz.tukaani.org, контролируемые Tan, оказались затронуты, в то время как основной сайт и репозитории на tukaani.org остались неповрежденными.