XZ Utils 后门供应链攻击揭露了几年前的类似漏洞事件

最近， XZ Utils 中发现一个后门，这让开源 Android 应用程序存储库 F-Droid 的一名开发人员回想起了过去的一起事件。3 月底，PostgreSQL 维护人员 Andres Freund 对 Liblzma (XZ Utils) 数据压缩库中发现的一个后门发出了警报。该库被开发人员广泛使用，并预装在各种 Linux 发行版中。最初人们认为它可以绕过 SSH 身份验证，但进一步审查发现，它实际上有助于远程代码执行，漏洞编号为 CVE-2024-3094。

针对开源软件的供应链攻击并不罕见，但这起事件的独特之处在于它似乎持续了数年。F-Droid 维护者 Hans-Christoph Steiner 回忆起 2020 年发生的类似事件。当时有人试图插入 SQL 注入漏洞，但被阻止了。这两起事件的相似之处在于随机账户施加的压力以包含恶意代码。

鉴于提交者的账户随后被删除，斯坦纳认为试图插入漏洞是故意的。在 XZ Utils 案例中，后门被归因于一个名叫 Jia Tan 或 JiaT75 的个人，他可能是由一个老练的威胁行为者创造的虚构身份。Jia Tan 参与该项目始于 2021 年 10 月，当时并没有什么恶意，到 2023 年中期，他逐渐升级为重大贡献者，可能是为了准备后门。

该后门最终于 2024 年 2 月被添加，一个月后被 Freund 发现，之后才被广泛传播。XZ Utils 的主要开发者 Collin 正在对此事进行调查。软件供应链安全专家 Dan Lorenc 在 2022 年的播客中警告了此类长期攻击，并暗示政府黑客团队可能参与其中。

一个挥之不去的问题是，未来是否会出现类似的事件，这些事件可能是由相同或不同的威胁行为者策划的。随着 Collin 深入调查，预计将出现更多细节，揭示 XZ Utils 后门的范围和影响。