XZ ইউটিলস ব্যাকডোর সাপ্লাই চেইন অ্যাটাক বছর আগের একই রকম দুর্বলতার ঘটনা উন্মোচন করে
XZ Utils-এ একটি ব্যাকডোরের সাম্প্রতিক উদ্ঘাটন অতীতের একটি ঘটনার স্মৃতিকে আলোড়িত করেছে F-Droid, একটি ওপেন-সোর্স অ্যান্ড্রয়েড অ্যাপ রিপোজিটরির একজন ডেভেলপারের জন্য। পোস্টগ্রেএসকিউএল রক্ষণাবেক্ষণকারী আন্দ্রেস ফ্রেউন্ড মার্চের শেষে Liblzma (XZ Utils) ডেটা কম্প্রেশন লাইব্রেরিতে পাওয়া একটি ব্যাকডোর সম্পর্কে অ্যালার্ম উত্থাপন করেছিলেন। এই লাইব্রেরিটি ডেভেলপারদের দ্বারা ব্যাপকভাবে ব্যবহৃত হয় এবং বিভিন্ন লিনাক্স ডিস্ট্রিবিউশনে আগে থেকে ইনস্টল করা হয়। প্রাথমিকভাবে SSH প্রমাণীকরণকে বাইপাস করে সক্ষম করার চিন্তা করা হয়েছিল, আরও যাচাই-বাছাই থেকে জানা গেছে যে এটি আসলে দূরবর্তী কোড কার্যকর করার সুবিধা দিয়েছে, যা CVE-2024-3094 দুর্বলতা হিসাবে মনোনীত হয়েছে।
ওপেন-সোর্স সফ্টওয়্যারগুলিতে সরবরাহ চেইন আক্রমণগুলি অস্বাভাবিক নয়, তবে এই ঘটনাটিকে যা আলাদা করে তা হল কয়েক বছর ধরে এর আপাত সময়কাল। হ্যান্স-ক্রিস্টোফ স্টেইনার, একজন এফ-ড্রয়েড রক্ষণাবেক্ষণকারী, 2020 সালে অনুরূপ একটি ইভেন্টের কথা স্মরণ করেছিলেন। সেই উদাহরণে, একটি SQL ইনজেকশন দুর্বলতা সন্নিবেশ করার চেষ্টা করা হয়েছিল, যদিও এটি ব্যর্থ হয়েছিল। দুটি ঘটনার মধ্যে সাদৃশ্য দূষিত কোড অন্তর্ভুক্ত করার জন্য এলোমেলো অ্যাকাউন্ট দ্বারা প্রয়োগ করা চাপের মধ্যে রয়েছে।
স্টেইনার বিশ্বাস করেন যে দুর্বলতা সন্নিবেশ করার প্রচেষ্টা ইচ্ছাকৃত ছিল, পরবর্তীতে জমাদানকারীর অ্যাকাউন্ট মুছে ফেলার কারণে। XZ Utils ক্ষেত্রে, ব্যাকডোরটি Jia Tan, বা JiaT75 নামে একজন ব্যক্তিকে দায়ী করা হয়েছিল, যিনি একটি অত্যাধুনিক হুমকি অভিনেতা দ্বারা তৈরি একটি কাল্পনিক পরিচয় হতে পারে৷ 2021 সালের অক্টোবরে এই প্রকল্পে জিয়া তানের সম্পৃক্ততা নির্দোষভাবে শুরু হয়েছিল, ধীরে ধীরে 2023 সালের মাঝামাঝি সময়ে উল্লেখযোগ্য অবদানে বৃদ্ধি পায়, সম্ভাব্যভাবে পিছনের দরজার প্রস্তুতির জন্য।
ব্যাকডোরটি শেষ পর্যন্ত 2024 সালের ফেব্রুয়ারিতে যুক্ত করা হয়েছিল এবং ব্যাপক বিতরণের আগে ফ্রুন্ড এক মাস পরে আবিষ্কার করেছিলেন। XZ Utils-এর প্রধান ডেভেলপার কলিন, বিষয়টি নিয়ে তদন্ত করছেন। ড্যান লরেঙ্ক, একজন সফ্টওয়্যার সরবরাহ চেইন নিরাপত্তা বিশেষজ্ঞ, 2022 সালে একটি পডকাস্টে এই ধরনের দীর্ঘমেয়াদী আক্রমণ সম্পর্কে সতর্ক করেছিলেন, পরামর্শ দিয়েছিলেন যে সরকারী হ্যাকিং দল জড়িত থাকতে পারে।
দীর্ঘস্থায়ী প্রশ্ন হল একই ধরনের ঘটনা, সম্ভবত একই বা ভিন্ন হুমকি অভিনেতাদের দ্বারা সাজানো, ভবিষ্যতে সামনে আসবে কিনা। কলিন তদন্তের গভীরে যাওয়ার সাথে সাথে, XZ Utils ব্যাকডোরের ব্যাপ্তি এবং প্রভাবের উপর আলোকপাত করে আরও বিশদ প্রকাশের আশা করা হচ্ছে।