En primavera de 2024, se descubrió una puerta trasera sofisticada en la biblioteca de compresión de datos XZ Utils, versiones 5.6.0 y 5.6.1, que potencialmente permitía la ejecución remota de código a través de SSH en muchos sistemas Linux. El código malicioso, inyectado por un colaborador anónimo llamado Jia Tan, fue descubierto por el ingeniero de Microsoft Andres Freund el 29 de marzo de 2024, después de notar un uso inusual de la CPU durante pruebas. Este incidente resaltó vulnerabilidades en las cadenas de suministro de software de código abierto.
La puerta trasera en XZ Utils sacudió a la comunidad de código abierto en primavera de 2024, revelando cómo el código malicioso podía infiltrarse en herramientas ampliamente utilizadas. XZ Utils, esencial para la compresión de datos en numerosas distribuciones de Linux, tuvo sus versiones 5.6.0 y 5.6.1 manipuladas, permitiendo la ejecución remota de código a través de SSH si las versiones afectadas llegaban a producción.
Andres Freund, ingeniero de Microsoft, alertó a otros por primera vez el 29 de marzo de 2024, después de observar patrones extraños de CPU en pruebas rutinarias. Su investigación expuso la puerta trasera, evitando un compromiso generalizado. El atacante, usando el seudónimo Jia Tan, construyó confianza durante dos años enviando parches benignos antes de escalar privilegios para insertar el código.
La sigilosidad provino de ocultar elementos maliciosos en archivos de prueba binarios y scripts de compilación dentro de repositorios Git, evadiendo revisiones estándar. El código se distribuyó a través de tarballs fuera del árbol Git principal, sorteando muchas herramientas automatizadas. Un análisis de Optimized by Otto sugiere mejores prácticas en Git, como auditar historiales de commits y binarios, además de revisiones por pares obligatorias, podrían haber detectado anomalías antes.
Los procesos de empaquetado de Debian también pasaron por alto la amenaza, ya que las versiones contaminadas estaban cerca de incluirse en ramas inestables, afectando derivados como Ubuntu y Fedora. Herramientas como compilaciones reproducibles y diffoscope para comparar paquetes fuente y binarios podrían haber detectado cambios en la biblioteca liblzma.
El enfoque de Jia Tan incluyó ingeniería social, presionando al mantenedor original Lasse Collin para que cediera el control. El evento subraya riesgos en proyectos mantenidos por voluntarios y llama a soluciones sistémicas, incluyendo financiamiento para mantenedores e integraciones de seguridad en tuberías CI/CD. Organizaciones como OpenSSF han intensificado esfuerzos, mientras que firmas de seguridad como Akamai recomiendan retrocesos de versiones y monitoreo para mitigar riesgos en empresas dependientes de Linux.