Il a découvert que le problème se situait dans la bibliothèque de compression de données liblzma, qui fait partie du paquetage XZ, et il en a conclu que « le dépôt xz en amont et les tarballs xz ont été piratés ».
Quelles distributions Linux ont été affectées par les paquets XZ piratés ?
Red Hat a confirmé que Fedora Rawhide et Fedora Linux 40 beta contenaient des versions affectées des bibliothèques xz, et qu’aucune version de Red Hat Enterprise Linux n’était affectée.
XZ Utils a été créé et est toujours dirigé par Lasse Collin, mais la porte dérobée a été introduite par quelqu’un qui se faisait appeler « Jia Tan », qui est devenu – sur plusieurs années, avec l’aide de comptes sock puppet et l’établissement de la confiance via l’ingénierie sociale – un mainteneur prolifique du logiciel, et a fait d’autres choses pour garder l’existence de la porte dérobée sous le coude.
« La tentative de porte dérobée était très sérieuse, avec un niveau très élevé de connaissances, de recherche, de développement et de savoir-faire pour atteindre une telle profondeur dans l’écosystème Linux. En outre, les modifications apportées par l’attaquant moderne sur Github s’étendent sur plusieurs années, et comprennent des choses comme l’introduction de fonctions incompatibles avec OSS Fuzzer en raison de petits problèmes en suspens depuis 2015, puis l’obtention d’OSS Fuzzer pour exclure XZ Utils de l’analyse l’année dernière « , a noté le chercheur Kevin Beaumont.
« La porte dérobée elle-même est très bien conçue et comprend même la possibilité de la désactiver et de la supprimer à distance par le biais d’une commande de mise à mort. Plusieurs jours plus tard, malgré l’attention mondiale, je n’ai vu personne terminer la rétro-ingénierie.
