XZ Utils後門供應鏈攻擊發現多年前類似的漏洞事件

最近曝光的XZ Utils 後門事件激起了開源 Android 應用程式儲存庫 F-Droid 的開發人員對過去事件的回憶。 PostgreSQL 維護者 Andres Freund 在 3 月底對 Liblzma (XZ Utils) 資料壓縮庫中發現的後門發出了警報。該程式庫被開發人員廣泛使用，並預先安裝在各種 Linux 發行版中。最初認為可以繞過 SSH 身份驗證，進一步檢查發現它實際上促進了遠端程式碼執行，被指定為 CVE-2024-3094 漏洞。

針對開源軟體的供應鏈攻擊並不罕見，但這次事件的獨特之處在於其持續時間明顯長達數年。 F-Droid 維護者 Hans-Christoph Steiner 回憶起 2020 年的類似事件。在那次事件中，有人試圖插入 SQL 注入漏洞，但遭到挫敗。這兩起事件的相似之處在於隨機帳戶施加的壓力以包含惡意程式碼。

斯坦納認為，考慮到提交者的帳戶隨後被刪除，插入漏洞的嘗試是故意的。在 XZ Utils 案例中，後門被認為是一個名叫 Jia Tan 或 JiaT75 的人所為，他可能是由老練的威脅行為者創建的虛構身份。 Jia Tan 於 2021 年 10 月開始無害地參與該項目，到 2023 年中期逐漸升級為重大貢獻，可能是為後門做準備。

該後門最終於 2024 年 2 月添加，並在一個月後被 Freund 發現，然後廣泛分發。 XZ Utils 的主要開發者 Collin 正在對此事進行調查。軟體供應鏈安全專家 Dan Lorenc 在 2022 年的播客中警告稱，此類長期攻擊可能涉及政府駭客團隊。

揮之不去的問題是，未來是否會出現可能由相同或不同的威脅行為者策劃的類似事件。隨著 Collin 深入研究調查，預計會出現更多細節，從而揭示 XZ Utils 後門的範圍和影響。