Потырено из vk.
«Когда в марте 2024 года Андрес Фройнд, контрибьютор ядра Linux и инженер Microsoft, разбирался с медленными SSH-логинами на своей Debian-машине, он заметил странность:
`liblzma` (часть `XZ Utils`) жрала подозрительно много CPU, и он продолжил копать. В итоге он вскрыл многоходовую supply-chain-атаку, которая готовилась несколько лет.
Атакующий под именем “Jia Tan” в течение двух лет постепенно внедрялся в небольшой проект XZ Utils – библиотеку сжатия, которая используется практически во всех крупных Linux-дистрибутивах.
Бэкдор находился не в исходниках. Он был зарыт глубоко в build-скриптах. Если бы была использована специально сформированная SSH-ключевая пара, атакующий получил бы удалённый root-доступ к миллионам серверов.
Фройнд обнаружил это за считаные дни до того, как заражённая версия ушла бы в Debian, Fedora, Ubuntu и другие дистрибутивы.
Один человек, одна аномалия, один обычный сеанс дебага – и потенциальная катастрофа для интернета была предотвращена.»
