På våren 2024 upptäcktes en sofistikerad bakdörr i datakomprimeringsbiblioteket XZ Utils, versioner 5.6.0 och 5.6.1, som potentiellt tillät fjärrkörning av kod via SSH på många Linux-system. Den skadliga koden, injicerad av en pseudonym bidragsgivare vid namn Jia Tan, avslöjades av Microsoft-ingenjören Andres Freund den 29 mars 2024, efter att ha noterat ovanlig CPU-användning under tester. Denna händelse belyste sårbarheter i open source-programvarans försörjningskedjor.
Bakdörren i XZ Utils skakade open source-communityn på våren 2024 och avslöjade hur skadlig kod kunde infiltrera välanvända verktyg. XZ Utils, essentiell för datakomprimering i många Linux-distributioner, hade versionerna 5.6.0 och 5.6.1 manipulerade, vilket möjliggjorde fjärrkörning av kod via SSH om de drabbade versionerna nådde produktion.
Andres Freund, en ingenjör på Microsoft, varnade andra för första gången den 29 mars 2024, efter att ha observerat udda CPU-mönster i rutinmässiga tester. Hans undersökning exponerade bakdörren och förhindrade utbredd kompromiss. Angriparen, som använde pseudonymen Jia Tan, byggde upp förtroende under två år genom att skicka godartade patchar innan privilegier eskalerades för att infoga koden.
Denna stealth kom från att gömma skadliga element i binära testfiler och byggskript inom Git-repositorier, vilket undvek standardgranskningar. Koden distribuerades via tarballs utanför huvud-Git-trädet, vilket kringgick många automatiserade verktyg. Analys från Optimized by Otto föreslår bättre Git-praktiker, som att granska commit-historik och binärer, plus obligatoriska peer reviews, som kunde ha upptäckt anomalier tidigare.
Debians paketeringsprocesser missade också hotet, eftersom de förorenade versionerna närmade sig inkludering i instabila grenar, vilket påverkade derivat som Ubuntu och Fedora. Verktyg som reproducerbara byggen och diffoscope för att jämföra käll- och binärpaket kunde ha upptäckt förändringar i liblzma-biblioteket.
Jia Tans tillvägagångssätt inkluderade social engineering, genom att pressa den ursprunglige underhållaren Lasse Collin att avstå kontrollen. Händelsen understryker risker i frivilligt underhållna projekt och kräver systemiska lösningar, inklusive finansiering för underhållare och säkerhetsintegrationer i CI/CD-pipelines. Organisationer som OpenSSF har ökat sina ansträngningar, medan säkerhetsföretag som Akamai rekommenderar versionsåtergångar och övervakning för att mildra risker i Linux-beroende företag.