安全提醒:xz 软件包被植入后门

当初OpenSSL爆出来心脏出血漏洞时候也是这么个局面,不过发生漏洞的原因是开发者接受了一个有漏洞的补丁,没有检查里面的问题

类似的事情数不胜数啊,个人开源项目花费时间精力,然后没有收入难以为继
例如之前的core.js,刚去仓库看了,还是只有一个人维护…

假如黑客不是亚洲人的话,没准是单纯觉得东南亚不容易被溯源。

(名字只是个代号,对着网名,还是黑客的网名一顿分析。。。而且这个黑客能潜伏3年,还开了好几个小号,甚至可能是个组织,西方这些程序员这脑回路真清奇)

当年CIH病毒的作者叫做陈盈豪, 破坏了大量的电脑主板.

嗯. 这说明台湾是我国不可分割的一部分.

今天看到用brew包管理器的macos也有这个版本

更新

姑且把后续研究也发一下,防止对投毒者国籍的刻板印象。

xz 后门作者可能生活在东欧

xz 后门作者 JiaT75 (Jia Tan) 使用了拼音名字,但并不意味着他或他们就是华裔,可能不过是一个伪装。在长达三年时间内,Jia Tan 不可能一直不露出任何马脚。他的英文邮件和母语英语者一样出色,Git 时间戳是可以修改的,但他或他们可能会在某个时间忘记修改,导致时间戳出现可疑的变动,比如工作时间从 UTC+08 切换到 UTC+02 和 UTC+03。对其 Git 时间戳的分析显示,Jia Tan 可能生活在东欧。他或他们被发现在中国官方假期如中秋、清明、农历新年期间都工作,但在东欧的假期比如圣诞节和新年期间则从不工作

这事在开源界会造成深远的影响

黑客都有双休 :rofl:

可能是有某些国家编制的黑客。
自由的黑客可没有太多的上下班节假日的束缚

潜伏这么久,回报期拉得那么长,不是有编制就是生活稳定

1 Like

刚刚看到这个

https://www.bilibili.com/video/BV1tJ4m1L7Z3

今天来讲一个恶意软件传播的故事,让我们解析一下这个供应链攻击的全过程。
大量内容参考自:Over 170K Users Affected by Attack Using Fake Python Infrastructure | by Tal Folkman | checkmarx-security | Mar, 2024 | Medium

如果名字沒錯的話,大概率是新馬人。

一看
xz-utils/focal-updates,focal-security,now 5.2.4-1ubuntu1.1 amd64 [已安装]
那没事了

名字很容易伪造,名字很可能是为了栽赃和诱导。已经有人分析提交代码的时间,春节不休息,但是圣诞休息,git伪造时间很容易,但是有一段时间露出马脚,时区是东欧。当然不能说实锤东欧或者华人,只能说这些都很容易伪造。但是这种长时间潜伏的,大概率还是国家级力量在推动。