Атака на бэкдор цепочки поставок XZ Utils выявила аналогичный инцидент с уязвимостью, произошедший много лет назад

Недавнее обнаружение бэкдора в XZ Utils вызвало у разработчика F-Droid, репозитория приложений Android с открытым исходным кодом, воспоминания о прошлом инциденте. Сопровождающий PostgreSQL Андрес Фройнд выразил тревогу по поводу бэкдора, обнаруженного в библиотеке сжатия данных Liblzma (XZ Utils) в конце марта. Эта библиотека широко используется разработчиками и предустановлена в различных дистрибутивах Linux. Первоначально предполагалось, что это позволяет обойти аутентификацию SSH, но дальнейшее изучение показало, что на самом деле это облегчает удаленное выполнение кода, обозначенное как уязвимость CVE-2024-3094.

Атаки на программное обеспечение с открытым исходным кодом в цепочке поставок не являются чем-то необычным, но отличительной чертой этого инцидента является его очевидная продолжительность в несколько лет. Ханс-Кристоф Штайнер, сопровождающий F-Droid, вспомнил подобное событие в 2020 году. В этом случае была предпринята попытка внедрить уязвимость SQL-инъекции, но она была пресечена. Сходство между этими двумя инцидентами заключается в том, что случайные учетные записи оказывают давление на них с целью включения вредоносного кода.

Штайнер считает, что попытка внедрения уязвимости была преднамеренной, учитывая последующее удаление учетной записи отправителя. В случае с XZ Utils бэкдор был приписан человеку по имени Цзя Тан, или JiaT75, который может быть вымышленной личностью, созданной изощренным злоумышленником. Участие Цзя Тана в проекте началось безобидно в октябре 2021 года и постепенно переросло в значительный вклад к середине 2023 года, возможно, в рамках подготовки к бэкдору.

Бэкдор был в конечном итоге добавлен в феврале 2024 года и обнаружен месяцем позже Фройндом, прежде чем он получил широкое распространение. Коллин, главный разработчик XZ Utils, проводит расследование по этому поводу. Дэн Лоренц, эксперт по безопасности цепочки поставок программного обеспечения, предупредил о таких долгосрочных атаках в подкасте в 2022 году, предположив, что в них могут быть замешаны правительственные хакерские группы.

Остается открытым вопрос, возникнут ли в будущем подобные инциденты, возможно, организованные одними и теми же или разными субъектами угроз. По мере того, как Коллин углубляется в расследование, ожидается, что появятся новые подробности, проливающие свет на масштабы и последствия бэкдора XZ Utils.