Szybka historyjka, co działo się w ciągu ostatnich kilkunastu godzin (czy raczej kilkunastu miesięcy?) w świecie open-source.
Istnieje sobie otwartoźródłowy projekt o nazwie “xz” autorstwa Lasse Collin[1].
Od około dwóch lat jednym ze współtwórców tego projektu jest użytkownik o pseudonimie “JiaT75”[2].
Dzisiaj Andres Freund napisał publiczny e-mail[3] alarmujący, że testując nową wersję biblioteki xz w instalacjach Debiana Sid, zachowywała się ona dziwnie (dokładniej logowania SSH trwały dłużej niż zwykle). Odkrył, że do kodu xz został dodany backdoor kierowany głównie w SSH.
Współtwórca xz, JiaT75, na przestrzeni wielu miesięcy dodawał kawałek po kawałku swój backdoor do biblioteki xz. Wersja 5.6.0 była ostateczną wersją kończącą jego misterny plan.
Następnie zorganizował falę pull requestów do innych projektów open-source, aby zaktualizowały xz do wersji 5.6.0.
Około 4 dni temu zmodyfikował treść pliku SECURITY.md projektu xz[4], aby badacze cybersecurity zgłaszali błędy prywatnie, a nie poprzez publiczne Issues na GitHubie. Można to interpretować jako “informujcie mnie prywatnie na temat mojego własnego backdoora”.
Commity tego użytkownika (JiaT75) mają ustawioną strefę czasową GMT+8, co odpowiada Australii, Chinom, Hong Kongowi, Indonezji, Rosji, Singapurowi lub Tajwanowi. Po jego jego nazwisku “Tan” raczej stawiałbym na Chiny. Jednak to z pewnością jest fałszywa tożsamość.
Red Hat poinformował CISA (Amerykański odpowiednik naszego CBZC) o ataku, po czym wystosowali CVE o identyfikatorze CVE-2024-3094.
W międzyczasie JiaT75 dodawał do innych projektów otwartoźródłowych kod[5], który uciszałby błędy logach aplikacji w momencie użycia backdoora zaimplementowanego w xz.
Teraz wyobraźcie sobie, ile innych backdoorów nie zostało jeszcze wykrytych, bo są one jeszcze lepiej wykonane niż ten, albo znajdują się w zamkniętym oprogramowaniu...
Add comment