🆕👾 Скандал в опенсорсе: разработчик xz внедрил бэкдор в популярные проекты
Разработчик популярного архиватора xz внедрил бэкдор в пакет, получив права мэйнтейнера. Вредоносный код попал в релизы xz и проекты, использующие его, включая ядро Linux.
Разработчик Jia Tan получил права мэйнтейнера пакета xz в 2022 году и внедрил бэкдор:
- Ему помогали виртуальные персонажи Jigar Kumar и Hans Jansen.
- Они критиковали прошлого мэйнтейнера и продвигали нужные Jia Tan изменения.
Бэкдор реализован через механизм IFUNC и M4-макросы:
- Jia Tan добавил поддержку IFUNC
- M4-макросы для активации спрятаны в архивах релиза 5.6.0.
Скомпрометированы не только релизы xz, но и проекты на его основе:
- Бэкдор попал в ядро Linux через пакет XZ Embedded.
- Jia Tan также мэйнтейнер пакетов xz-java и xz-embedded.
Бэкдор раскрыт благодаря сбоям при отладке в Valgrind:
- Разработчики пытались это исправить в версии 5.6.1.
- Сотрудник Microsoft, участвующий в разработке PostgreSQL, выявил бэкдор.
Прошлый мэйнтейнер xz подтвердил создание скомпрометированных релизов Jia Tan:
- Репозитории на GitHub и поддомен xz.tukaani.org контролировались Jia Tan.
- Основной сайт и репозитории на tukaani.org не были скомпрометированы.
Источники: opennet.ru, boehs.org
👾 Библиотека хакера
Больше полезных материалов вы найдете на нашем телеграм-канале «Библиотека хакера»