2024年春、データ圧縮ライブラリXZ Utilsのバージョン5.6.0および5.6.1に洗練されたバックドアが発見され、多くのLinuxシステムでSSH経由のリモートコード実行を可能にする可能性があった。この悪意あるコードは、匿名寄稿者Jia Tanによって注入され、2024年3月29日にMicrosoftのエンジニアAndres Freundによってテスト中の異常なCPU使用量に気づいた後で暴かれた。この事件は、オープンソースソフトウェアのサプライチェーンにおける脆弱性を浮き彫りにした。
2024年春、XZ Utilsのバックドアはオープンソースコミュニティを震撼させ、悪意あるコードが広く使用されるツールにどのように侵入するかを明らかにした。Linuxディストリビューションの多数でデータ圧縮に不可欠なXZ Utilsのバージョン5.6.0および5.6.1が改ざんされ、影響を受けたバージョンが本番環境に到達した場合にSSH経由のリモートコード実行を可能にした。
MicrosoftのエンジニアAndres Freundは、2024年3月29日にルーチンテストで奇妙なCPUパターンを観察した後、最初に他人に警告した。彼の調査はバックドアを暴露し、広範な侵害を回避した。攻撃者は、Jia Tanという偽名を使い、2年間にわたり無害なパッチを提出して信頼を築いた後、特権をエスカレートさせてコードを挿入した。
隠密性は、Gitリポジトリ内のバイナリテストファイルとビルドスクリプトに悪意ある要素を隠すことで生まれ、標準的なレビューを回避した。コードはメインのGitツリー外のtarball経由で配布され、多くの自動ツールを回避した。Optimized by Ottoの分析では、コミット履歴とバイナリの監査などのより良いGit実践、および必須のピアレビューにより、異常を早期に検出できた可能性があると示唆されている。
Debianのパッケージングプロセスも脅威を見逃し、汚染されたバージョンが不安定ブランチへの組み込みに近づいていたため、UbuntuやFedoraなどの派生に影響を及ぼした。再現可能ビルドやソースとバイナリパッケージの比較にdiffoscopeなどのツールは、liblzmaライブラリの変更を検出できたかもしれない。
Jia Tanのアプローチにはソーシャルエンジニアリングが含まれ、元のメンテナLasse Collinに制御を放棄させる圧力をかけた。この出来事は、ボランティア主導のプロジェクトのリスクを強調し、メンテナへの資金提供やCI/CDパイプラインへのセキュリティ統合を含むシステム的な修正を求めている。OpenSSFのような組織は取り組みを強化しており、Akamaiのようなセキュリティ企業は、Linux依存企業でのリスク軽減のため、バージョン rollbackと監視を推奨している。