xz-utils包被植入后门三年,跟网文一样精彩的攻击故事
xz-utils包被植入后门三年,跟网文一样精彩的攻击故事
用户5166556
发布于 2024-04-10 18:46:52
发布于 2024-04-10 18:46:52
下面来扒一下这位提交代码的作者。
几个月就对这个 GitHub 账号有点印象。不是我马后炮,而是我当时正好在维护一个一键部署 frida-server 的脚本,有人反馈他们的发行版上没有自带 xz 命令;而 nodejs 的 lzma 包又有兼容性问题,我就考虑要不要把 lzma 用 wasm 编译到项目里去。
我当时去 lzma 库的主页逛了一圈,就觉得有点奇怪,这个两个维护人,其中一个的名字看着像中文又好像不太对……
那么这个作者有没有可能是因为被盗号?大家觉得不太像,看他的提交记录和疯狂 push 相关发行版合并上游变更的发言,很难洗地。
4 天前刚改 SECURITY.md,让大家发现有什么问题请偷偷发邮件联系。
观察此人的提交记录,已经在项目里潜伏了两年了。
https://github.com/tukaani-project/xz/commits?author=JiaT75
最早的提交是在 2022 年 2 月 6 日,一直都是 merge request,终于到 2022 年 12 月有了直接向仓库提交代码的权限。
除了 xz,还尝试给 libarchive 加料,这个库 iOS 也用到了:
东窗事发之前,昨天还在催促 Ubuntu 邮件组合并 debian 的修改:
https://bugs.launchpad.net/ubuntu/+source/xz-utils/+bug/2059417
截至目前事件还在持续发酵,我先去操心自己电脑到底有没有被搞了,打开我的电脑,忽然发现,还好目前没有证据表明这个后门会感染 macOS。
本文参与?腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-03-30,如有侵权请联系?cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读