Bendi新闻
>
xz活跃维护者“潜伏”三年——添加恶意代码、植入SSH后门

xz活跃维护者“潜伏”三年——添加恶意代码、植入SSH后门

7月前

红帽发布了一份 “针对 Fedora Linux 40 和 Fedora Rawhide 用户的紧急安全警报” 指出,最新版本的 xz 5.6.0/5.6.1 工具和库中包含恶意代码,可能允许未经授权的远程系统访问。

xz 是一种通用数据压缩格式,几乎存在于每个 Linux 发行版中,包括社区项目和商业产品发行版。

从本质上讲,它有助于将大文件格式压缩(然后解压缩)为更小、更易于管理的大小,以便通过文件传输进行共享。

红帽已经该漏洞标记为 CVE-2024-3094。目前的调查表明,这些软件包仅存在于 Red Hat 社区生态系统内的 Fedora 41 和 Fedora Rawhide 中,Red Hat Enterprise Linux (RHEL) 的所有版本均不受影响。

安全研究人员 Andres Freund 进行的逆向工程分析发现,恶意代码使用巧妙的技术来逃避检测。更多详情可查看此 oss-security 列表。

值得一提的是,目前 GitHub 已全面禁用了 tukaani-project/xz 仓库,并附有一条信息:

由于违反了 GitHub 的服务条款,GitHub 工作人员已禁止访问该版本库。如果您是该版本库的所有者,可以联系 GitHub 支持部门了解详情。


据称向 xz 添加恶意代码的攻击者被认为处心积虑,潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号,之后积极参与了 xz-utils 的开发,获取信任之后成为了该项目的维护者之一。


过去几个月,JiaT75 开始非常巧妙的悄悄加入恶意代码,“分阶段通过添加测试用例数据为掩盖放入了恶意代码,并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本,在库中添加了劫持某 OpenSSL 函数的功能,添加了一个 SSH 后门。


”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者,以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug,会导致崩溃等,此人随后与 Linux 开发者们频繁联络通信,试图修复问题,并建议他们发现问题后不要公开。


目前 JiaT75 的账号以及 xz-utils 库都已被 GitHub 关闭。



xz 后门事件凸显了维护者在维护一个基本上不会得到多少外界帮助的开源项目时所面临的挑战,当别有用心的人热情提供帮助,你真的难以分辨对方是真心还是假意。


对于 xz 项目原唯一维护者 Lasse Collin 邮件列表交流的分析显示,这位维护者早就筋疲力尽了,他承认如果有 bug 会去修,但开发新功能基本上不可能了。


这种情况在 JiaT75(Jia Tan)积极提供帮助后发生了变化,Jia Tan 是少数或者可能是唯一一位愿意“帮助”而不是抱怨开发停滞的人。


Lasse Collin 表示考虑让 Jia Tan 扮演更重要的角色,甚至让其接手维护。对于不断抱怨和提出要求的用户,他强调这是一个无薪水的业余项目。在“用户”不断的要求之下,Jia Tan 成为了项目的共同维护者。



相关链接
https://www.solidot.org/story?sid=77737
https://www.solidot.org/story?sid=77741
https://gist.github.com/thesamesam/223949d5a074ebc3dce9ee78baad9e27


热门文章

- C++之父反驳白宫

- Redis不再 “开源”

- 微软正式开源专为Windows打造的Sudo

- 谷歌要让Angular再次伟大——正在与内部JS框架Wiz进行合并

- Linus Torvalds:你的代码好恶心

⬇️ 长按二维码,启动!

微信扫码关注该文公众号作者

来源:OSC开源社区

相关新闻

“潜伏” 3 年想植入后门,最终被 Bug 打败了XZ恶意代码潜伏三年,差点引发核末日?后门投毒黑客身份成谜Linux 圈 “ 地震 ” :主流压缩工具 XZ 被曝后门,红帽、Debian 等发公告要求紧急停用没有阻隔、缺乏执勤,纽约州这地成通往美国“后门”探索LLM安全漏洞新视角:植入后门的RAG会对大模型推理带来哪些风险?这国出手了!走线赴美国的“后门”正在被关上!突发!加州发布政策整治招生“开后门”行为!多所顶尖大学受影响!“你们这是在杀人!”马斯克抨击杜克医学院为少数族裔“开后门”英国高校被指控为留学生“开后门”!伦敦将于周五试行低票价!他潜伏三年想插它后门,最终还是输给了另一个他开源项目警惕被“社工”渗透,否则后门不保!加拿大华人爆火"移民后门"遭严查!百名“移民顾问”遭指控!移民规则恐变动“虽然我不在TOP30,但人称‘藤校小后门’”大模型隐蔽后门震惊马斯克:平时人畜无害,提到关键字瞬间“破防”今天起 ChatGPT 无需注册就能用了;xz 后门作者可能生活在东欧不一定是华裔LCBO劳资双方达成协议 投票后门店最快下周二重开加拿大严查"移民后门" 华人常走项目恐要整改?! 有人交4.5万找工作打水漂加拿大华人爆火"移民后门"遭严查!$8万高价专卖留学生!上百人被控!突发!加拿大华人爆火"移民后门"遭严查!$8万高价专卖留学生!上百人被控!开后门?Citadel主管偷塞给NYU学生的招聘手册曝光,信息量好大乌军两个旅残部投降,康斯坦丁诺夫卡的后门​对俄军洞开!ICLR2024:南洋理工发布!改几个参数就为大模型注入后门防不胜防!纽约80岁华裔老太被"反诈"诈骗6000多;规矩改了,为防逃票MTA巴士不能后门上车。皇后区华裔房东遭两次洗劫 假装送披萨按门铃 同伙溜进后门
logo
联系我们隐私协议©2024 bendi.news
Bendi新闻
Bendi.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Bendi.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。