XZ यूटिलिटीज के बैकडोर सप्लाई चेन अटैक से सालों पहले की इसी तरह की भेद्यता उजागर हुई
XZ Utils में एक बैकडोर के हाल ही में हुए खुलासे ने F-Droid के डेवलपर को एक पुरानी घटना की याद दिला दी है, जो एक ओपन-सोर्स Android ऐप रिपोजिटरी है। PostgreSQL के मेंटेनर एंड्रेस फ्रंड ने मार्च के अंत में Liblzma (XZ Utils) डेटा कम्प्रेशन लाइब्रेरी में पाए गए बैकडोर के बारे में चिंता जताई थी। यह लाइब्रेरी डेवलपर्स द्वारा बड़े पैमाने पर इस्तेमाल की जाती है और विभिन्न Linux डिस्ट्रीब्यूशन में पहले से इंस्टॉल आती है। शुरू में यह सोचा गया था कि यह SSH प्रमाणीकरण को बायपास करने में सक्षम है, लेकिन आगे की जांच से पता चला कि यह वास्तव में रिमोट कोड निष्पादन की सुविधा प्रदान करता है, जिसे CVE-2024-3094 भेद्यता के रूप में नामित किया गया है।
ओपन-सोर्स सॉफ़्टवेयर पर सप्लाई चेन हमले असामान्य नहीं हैं, लेकिन इस घटना को जो बात अलग बनाती है, वह यह है कि यह कई वर्षों तक चली। F-Droid के मेंटेनर हैंस-क्रिस्टोफ़ स्टीनर ने 2020 में इसी तरह की एक घटना को याद किया। उस मामले में, SQL इंजेक्शन भेद्यता डालने का प्रयास किया गया था, हालाँकि इसे विफल कर दिया गया था। दोनों घटनाओं के बीच समानता यह है कि दुर्भावनापूर्ण कोड शामिल करने के लिए यादृच्छिक खातों द्वारा दबाव डाला गया।
स्टीनर का मानना है कि भेद्यता डालने का प्रयास जानबूझकर किया गया था, क्योंकि बाद में सबमिटर के खाते को हटा दिया गया था। XZ यूटिलिटीज मामले में, बैकडोर को जिया टैन या जियाटी75 नामक व्यक्ति को जिम्मेदार ठहराया गया था, जो एक परिष्कृत खतरे वाले अभिनेता द्वारा बनाई गई एक काल्पनिक पहचान हो सकती है। परियोजना में जिया टैन की भागीदारी अक्टूबर 2021 में सहज रूप से शुरू हुई, धीरे-धीरे 2023 के मध्य तक महत्वपूर्ण योगदान तक बढ़ गई, संभवतः बैकडोर की तैयारी में।
पिछले दरवाजे को आखिरकार फरवरी 2024 में जोड़ा गया और एक महीने बाद फ्रायंड ने इसे व्यापक वितरण से पहले खोजा। XZ Utils के मुख्य डेवलपर कोलिन इस मामले की जांच कर रहे हैं। सॉफ्टवेयर सप्लाई चेन सिक्योरिटी विशेषज्ञ डैन लॉरेन ने 2022 में एक पॉडकास्ट में इस तरह के दीर्घकालिक हमलों की चेतावनी दी थी, जिसमें सुझाव दिया गया था कि सरकारी हैकिंग टीमें इसमें शामिल हो सकती हैं।
यह सवाल बना हुआ है कि क्या भविष्य में भी ऐसी ही घटनाएँ सामने आएंगी, जो संभवतः एक ही या अलग-अलग खतरे पैदा करने वाले लोगों द्वारा आयोजित की गई होंगी। जैसे-जैसे कोलिन जांच में गहराई से उतरेंगे, वैसे-वैसे और भी विवरण सामने आने की उम्मीद है, जो XZ यूटिलिटी बैकडोर की सीमा और निहितार्थों पर प्रकाश डालेंगे।