Na primavera de 2024, uma porta dos fundos sofisticada foi descoberta na biblioteca de compressão de dados XZ Utils, versões 5.6.0 e 5.6.1, potencialmente permitindo a execução remota de código via SSH em muitos sistemas Linux. O código malicioso, injetado por um colaborador pseudônimo chamado Jia Tan, foi descoberto pelo engenheiro da Microsoft Andres Freund em 29 de março de 2024, após notar uso incomum de CPU durante testes. Este incidente destacou vulnerabilidades nas cadeias de suprimento de software open-source.
A porta dos fundos no XZ Utils abalou a comunidade open-source na primavera de 2024, revelando como código malicioso poderia se infiltrar em ferramentas amplamente usadas. O XZ Utils, essencial para compressão de dados em numerosas distribuições Linux, teve suas versões 5.6.0 e 5.6.1 adulteradas, permitindo execução remota de código via SSH se as versões afetadas chegassem à produção.
Andres Freund, engenheiro da Microsoft, alertou os outros pela primeira vez em 29 de março de 2024, após observar padrões estranhos de CPU em testes rotineiros. Sua investigação expôs a porta dos fundos, evitando um comprometimento generalizado. O atacante, usando o pseudônimo Jia Tan, construiu confiança ao longo de dois anos submetendo patches benignos antes de escalar privilégios para inserir o código.
A furtividade veio de esconder elementos maliciosos em arquivos de teste binários e scripts de build em repositórios Git, evadindo revisões padrão. O código foi distribuído via tarballs fora da árvore Git principal, contornando muitas ferramentas automatizadas. Análise da Optimized by Otto sugere melhores práticas no Git, como auditoria de históricos de commits e binários, além de revisões por pares obrigatórias, poderiam ter detectado anomalias mais cedo.
Os processos de empacotamento do Debian também perderam a ameaça, pois as versões contaminadas estavam próximas de inclusão em branches instáveis, impactando derivados como Ubuntu e Fedora. Ferramentas como builds reproduzíveis e diffoscope para comparar pacotes fonte e binários poderiam ter identificado mudanças na biblioteca liblzma.
A abordagem de Jia Tan incluiu engenharia social, pressionando o mantenedor original Lasse Collin a renunciar ao controle. O evento ressalta riscos em projetos mantidos por voluntários e clama por correções sistêmicas, incluindo financiamento para mantenedores e integrações de segurança em pipelines CI/CD. Organizações como OpenSSF aumentaram esforços, enquanto firmas de segurança como Akamai recomendam rollbacks de versão e monitoramento para mitigar riscos em empresas dependentes de Linux.