02 апреля 2024

🆕👾 Скандал в опенсорсе: разработчик xz внедрил бэкдор в популярные проекты

Пишу об IT и на Python. kungurov.net
Разработчик популярного архиватора xz внедрил бэкдор в пакет, получив права мэйнтейнера. Вредоносный код попал в релизы xz и проекты, использующие его, включая ядро Linux.
🆕👾 Скандал в опенсорсе: разработчик xz внедрил бэкдор в популярные проекты

Разработчик Jia Tan получил права мэйнтейнера пакета xz в 2022 году и внедрил бэкдор:

  • Ему помогали виртуальные персонажи Jigar Kumar и Hans Jansen.
  • Они критиковали прошлого мэйнтейнера и продвигали нужные Jia Tan изменения.

Бэкдор реализован через механизм IFUNC и M4-макросы:

  • Jia Tan добавил поддержку IFUNC
  • M4-макросы для активации спрятаны в архивах релиза 5.6.0.

Скомпрометированы не только релизы xz, но и проекты на его основе:

  • Бэкдор попал в ядро Linux через пакет XZ Embedded.
  • Jia Tan также мэйнтейнер пакетов xz-java и xz-embedded.

Бэкдор раскрыт благодаря сбоям при отладке в Valgrind:

  • Разработчики пытались это исправить в версии 5.6.1.
  • Сотрудник Microsoft, участвующий в разработке PostgreSQL, выявил бэкдор.

Прошлый мэйнтейнер xz подтвердил создание скомпрометированных релизов Jia Tan:

  • Репозитории на GitHub и поддомен xz.tukaani.org контролировались Jia Tan.
  • Основной сайт и репозитории на tukaani.org не были скомпрометированы.

Источники: opennet.ru, boehs.org

👾 Библиотека хакера
Больше полезных материалов вы найдете на нашем телеграм-канале «Библиотека хакера»

МЕРОПРИЯТИЯ

Комментарии

ВАКАНСИИ

Добавить вакансию
Go-разработчик
по итогам собеседования

ЛУЧШИЕ СТАТЬИ ПО ТЕМЕ