xz 被發現存在惡意後門滲透 幸被早期發現避免供應鏈攻擊

開源軟件雖然好用,不過也同時暴露在惡意程式碼滲透的風險中,最近一個開源壓縮庫就被發現存在後門,幸好得以及早發現,避免了大規模的損害。

開源壓縮庫 xz 最近被 Microsoft 的安全專家 Andres Freund 發現其軟件套件 liblzma 存在一個巧妙隱藏的後門,這個後門可以透過改變受感染系統上的 SSH 守護進程的運行,實現完全的遙距代碼執行,因此造成的影響可以相當嚴重,攻擊者可以在 SSH 連接初始化期間的特定條件下遙距執行命令。

xz 在不少 Linux 版本甚至 macOS 都有採用,用於壓縮發佈的 tar 封包和內核映像等等,不過今次發現的後門只影響少量 Linux 版本就被發現。今次事件中更牽涉開發社群中對 xz 開發者 Lasse Collin 的施壓並引入新的參與者「Jia Tan」,然後這些惡意代碼就被陸續加入到項目中,被認為是精心策劃的一場行動。

專家認為,開源項目開發者很多時都是無償地在業餘時間管理,因此要充分維持項目安全其實面對巨大的壓力和挑戰,稍有不慎就會招致嚴重後果。

來源:The Register