Pada musim semi 2024, sebuah pintu belakang canggih ditemukan di perpustakaan kompresi data XZ Utils, versi 5.6.0 dan 5.6.1, yang berpotensi memungkinkan eksekusi kode jarak jauh melalui SSH pada banyak sistem Linux. Kode berbahaya, yang disuntikkan oleh kontributor anonim bernama Jia Tan, ditemukan oleh insinyur Microsoft Andres Freund pada 29 Maret 2024, setelah memperhatikan penggunaan CPU yang tidak biasa selama pengujian. Insiden ini menyoroti kerentanan dalam rantai pasok perangkat lunak open-source.
Pintu belakang XZ Utils mengguncang komunitas open-source pada musim semi 2024, mengungkapkan bagaimana kode berbahaya dapat menyusup ke alat-alat yang digunakan secara luas. XZ Utils, yang esensial untuk kompresi data di berbagai distribusi Linux, memiliki versi 5.6.0 dan 5.6.1 yang dimanipulasi, memungkinkan eksekusi kode jarak jauh melalui SSH jika versi yang terpengaruh mencapai produksi.
Andres Freund, insinyur Microsoft, pertama kali memperingatkan orang lain pada 29 Maret 2024, setelah mengamati pola CPU yang aneh dalam pengujian rutin. Penyelidikannya mengungkap pintu belakang tersebut, mencegah kompromi yang meluas. Penyerang, menggunakan nama samaran Jia Tan, membangun kepercayaan selama dua tahun dengan mengirimkan patch yang tidak berbahaya sebelum meningkatkan hak istimewa untuk menyisipkan kode.
Kepolosan itu berasal dari menyembunyikan elemen berbahaya dalam file tes biner dan skrip build di repositori Git, menghindari tinjauan standar. Kode tersebut didistribusikan melalui tarball di luar pohon Git utama, melewati banyak alat otomatis. Analisis dari Optimized by Otto menyarankan praktik Git yang lebih baik, seperti mengaudit riwayat commit dan biner, ditambah tinjauan rekan wajib, yang bisa mendeteksi anomali lebih awal.
Proses pengemasan Debian juga melewatkan ancaman tersebut, karena versi yang tercemar hampir dimasukkan ke cabang tidak stabil, memengaruhi turunan seperti Ubuntu dan Fedora. Alat seperti build yang dapat direproduksi dan diffoscope untuk membandingkan paket sumber dan biner mungkin bisa mendeteksi perubahan di perpustakaan liblzma.
Pendekatan Jia Tan mencakup rekayasa sosial, menekan pemelihara asli Lasse Collin untuk melepaskan kendali. Peristiwa ini menekankan risiko dalam proyek yang dikelola sukarelawan dan menyerukan perbaikan sistemik, termasuk pendanaan untuk pemelihara dan integrasi keamanan di pipeline CI/CD. Organisasi seperti OpenSSF telah meningkatkan upaya, sementara perusahaan keamanan seperti Akamai merekomendasikan rollback versi dan pemantauan untuk mengurangi risiko di perusahaan yang bergantung pada Linux.