يكشف هجوم XZ Utils Backdoor Chain Attack عن حادثة ضعف مماثلة منذ سنوات مضت

أثار الكشف الأخير عن الباب الخلفي في XZ Utils ذكريات حادث سابق لمطور في F-Droid، وهو مستودع تطبيقات Android مفتوح المصدر. أثار أندريس فرويند، مشرف PostgreSQL، إنذارات بشأن وجود باب خلفي في مكتبة ضغط البيانات Liblzma (XZ Utils) في نهاية شهر مارس. يتم استخدام هذه المكتبة على نطاق واسع من قبل المطورين وتأتي مثبتة مسبقًا في توزيعات Linux المختلفة. كان يُعتقد في البداية أنها تمكن تجاوز مصادقة SSH، إلا أن المزيد من التدقيق كشف أنها سهّلت بالفعل تنفيذ التعليمات البرمجية عن بُعد، والتي تم تحديدها على أنها ثغرة أمنية CVE-2024-3094.

إن هجمات سلسلة التوريد على البرمجيات مفتوحة المصدر ليست غير شائعة، ولكن ما يميز هذه الحادثة هو مدتها الواضحة على مدى عدة سنوات. يتذكر هانز كريستوف شتاينر، أحد مشرفي F-Droid، حدثًا مشابهًا في عام 2020. في تلك الحالة، جرت محاولة لإدراج ثغرة أمنية في حقن SQL، على الرغم من إحباطها. ويكمن التشابه بين الحادثتين في الضغط الذي تمارسه الحسابات العشوائية لتضمين تعليمات برمجية ضارة.

يعتقد ستاينر أن محاولة إدراج الثغرة الأمنية كانت مقصودة، نظرًا للحذف اللاحق لحساب المرسل. في قضية XZ Utils، نُسب الباب الخلفي إلى شخص يُدعى جيا تان، أو JiaT75، والذي قد يكون هوية وهمية أنشأها ممثل تهديد متطور. بدأت مشاركة جيا تان في المشروع بشكل غير ضار في أكتوبر 2021، وتصاعدت تدريجيًا إلى مساهمات كبيرة بحلول منتصف عام 2023، وربما استعدادًا للباب الخلفي.

تمت إضافة الباب الخلفي في النهاية في فبراير 2024 واكتشفه فرويند بعد شهر، قبل توزيعه على نطاق واسع. يجري Collin، المطور الرئيسي لـ XZ Utils، تحقيقًا في الأمر. وحذر دان لورينك، خبير أمن سلسلة توريد البرمجيات، من مثل هذه الهجمات طويلة المدى في بث صوتي في عام 2022، مما يشير إلى احتمال تورط فرق القرصنة الحكومية.

والسؤال المطروح هو ما إذا كانت حوادث مماثلة، ربما يتم تنسيقها من قبل نفس الجهات التهديدية أو جهات مختلفة، ستظهر في المستقبل. وبينما يتعمق كولين في التحقيق، من المتوقع ظهور المزيد من التفاصيل، مما يسلط الضوء على مدى وآثار الباب الخلفي لـ XZ Utils.