今天 Linux 社區(qū)最關注的心機行版事情就是 xz-utils (以前被稱為 LZMA Utils) 項目被植入后門的事情，xz 是黑客后向后門被 Linux 發(fā)行版廣泛使用的壓縮格式之一，xz-utils 是潛伏器安全藍一個開源項目，2022 年起有個名為 Jia Tan 的兩年賬號開始向該項目貢獻代碼，然后逐步接手該項目成為項目的添加主要貢獻者。

日前該項目被發(fā)現存在后門，多個點網這些惡意代碼旨在允許未經授權的發(fā)服務訪問，具體來說影響 xz-utils 5.6.0 和 5.6.1 版中，中招而且這些受影響的影響版本已經被多個 Linux 發(fā)行版合并。

簡單來說這是心機行版一起供應鏈投毒事件，攻擊者通過上游開源項目投毒，黑客后向后門最終隨著項目集成影響 Linux 發(fā)行版，潛伏器安全藍包括 Fedora Linux 40/41 等操作系統(tǒng)已經確認受該問題影響。兩年

惡意代碼的添加目的：

RedHat 經過分析后認為，此次黑客添加的多個點網惡意代碼會通過 systemd 干擾 sshd 的身份驗證，SSH 是遠程連接系統(tǒng)的常見協(xié)議，而 sshd 是允許訪問的服務。

在適當的情況下，這種干擾可能會讓黑客破壞 sshd 的身份驗證并獲得整個系統(tǒng)的遠程未經授權的訪問 (無需 SSH 密碼或密鑰)。

RedHat 確認 Fedora Linux 40/41、Fedora Rawhide 受該問題影響，RHEL 不受影響，其他 Linux 發(fā)行版應該也受影響，具體用戶可以在開發(fā)商網站獲取信息。

建議立即停止使用受影響版本：

如果你使用的 Linux 發(fā)行版受上述后門程序影響，RedHat 的建議是無論個人還是商用目的，都應該立即停止使用。

之后請查詢 Linux 發(fā)行版的開發(fā)商獲取安全建議，包括檢查和刪除后門程序、回滾或更新 xz-utils 等。

孤獨的開源貢獻者問題：

在這里還需要額外討論一個開源項目的問題，xz-utils 盡管被全世界的 Linux 發(fā)行版、壓縮軟件廣泛使用，但在之前只有一名活躍的貢獻者在維護這個項目。

這個孤獨的貢獻者可能因為精力不夠或者其他原因，在遇到一名新的貢獻者時，隨著時間的推移，在獲取信任后，這名新貢獻者逐漸獲得了項目的更多控制權。

實際上這名黑客應該也是精心挑選的項目，知道這種情況下可能更容易獲取控制權，于是從 2022 年開始就貢獻代碼，直到成為主要貢獻者后，再實施自己的后門行動。

未來這類針對開源項目的供應鏈攻擊應該還會顯著增加，這對整個開源社區(qū)來說應該都是頭疼的問題。

最新評論