Au printemps 2024, une porte dérobée sophistiquée a été découverte dans la bibliothèque de compression de données XZ Utils, versions 5.6.0 et 5.6.1, permettant potentiellement l'exécution de code à distance via SSH sur de nombreux systèmes Linux. Le code malveillant, injecté par un contributeur pseudonyme nommé Jia Tan, a été mis au jour par l'ingénieur Microsoft Andres Freund le 29 mars 2024, après avoir remarqué une utilisation inhabituelle du CPU lors de tests. Cet incident a mis en lumière les vulnérabilités dans les chaînes d'approvisionnement des logiciels open-source.
La porte dérobée dans XZ Utils a secoué la communauté open-source au printemps 2024, révélant comment un code malveillant pouvait s'infiltrer dans des outils largement utilisés. XZ Utils, essentiel pour la compression de données dans de nombreuses distributions Linux, a vu ses versions 5.6.0 et 5.6.1 altérées, permettant l'exécution de code à distance via SSH si les versions affectées atteignaient la production.
Andres Freund, ingénieur chez Microsoft, a alerté les autres pour la première fois le 29 mars 2024, après avoir observé des schémas CPU inhabituels lors de tests routiniers. Son enquête a exposé la porte dérobée, évitant un compromis généralisé. L'attaquant, utilisant le pseudonyme Jia Tan, a bâti la confiance sur deux ans en soumettant des correctifs inoffensifs avant d'escalader les privilèges pour insérer le code.
La discrétion provenait de la dissimulation d'éléments malveillants dans des fichiers de test binaires et des scripts de construction au sein de dépôts Git, évitant les examens standards. Le code a été distribué via des tarballs en dehors de l'arbre Git principal, contournant de nombreux outils automatisés. Une analyse de Optimized by Otto suggère de meilleures pratiques Git, comme l'audit des historiques de commits et des binaires, plus des révisions par les pairs obligatoires, qui auraient pu détecter les anomalies plus tôt.
Les processus d'empaquetage de Debian ont également manqué la menace, car les versions contaminées étaient proches de l'inclusion dans des branches instables, impactant des dérivés comme Ubuntu et Fedora. Des outils tels que les builds reproductibles et diffoscope pour comparer les paquets source et binaires auraient pu repérer les changements dans la bibliothèque liblzma.
L'approche de Jia Tan incluait l'ingénierie sociale, en pressant le mainteneur original Lasse Collin à céder le contrôle. L'événement souligne les risques dans les projets maintenus par des volontaires et appelle à des solutions systémiques, incluant le financement des mainteneurs et l'intégration de la sécurité dans les pipelines CI/CD. Des organisations comme OpenSSF ont intensifié leurs efforts, tandis que des firmes de sécurité comme Akamai recommandent des rollbacks de versions et une surveillance pour atténuer les risques dans les entreprises dépendantes de Linux.