🆕👾 Скандал в опенсорсе: разработчик xz внедрил бэкдор в популярные проекты

Разработчик популярного архиватора xz внедрил бэкдор в пакет, получив права мэйнтейнера. Вредоносный код попал в релизы xz и проекты, использующие его, включая ядро Linux.

Разработчик Jia Tan получил права мэйнтейнера пакета xz в 2022 году и внедрил бэкдор:

• Ему помогали виртуальные персонажи Jigar Kumar и Hans Jansen.
• Они критиковали прошлого мэйнтейнера и продвигали нужные Jia Tan изменения.
  

Бэкдор реализован через механизм IFUNC и M4-макросы:

• Jia Tan добавил поддержку IFUNC
• M4-макросы для активации спрятаны в архивах релиза 5.6.0.

Скомпрометированы не только релизы xz, но и проекты на его основе:

• Бэкдор попал в ядро Linux через пакет XZ Embedded.
• Jia Tan также мэйнтейнер пакетов xz-java и xz-embedded.
  

Бэкдор раскрыт благодаря сбоям при отладке в Valgrind:

• Разработчики пытались это исправить в версии 5.6.1.
• Сотрудник Microsoft, участвующий в разработке PostgreSQL, выявил бэкдор.
  

Прошлый мэйнтейнер xz подтвердил создание скомпрометированных релизов Jia Tan:

• Репозитории на GitHub и поддомен xz.tukaani.org контролировались Jia Tan.
• Основной сайт и репозитории на tukaani.org не были скомпрометированы.
  

Источники: opennet.ru, boehs.org