Código malicioso foi identificado em xz/liblzma com o objetivo de obter acesso remoto não autorizado via SSH (backdoor) e execução de comandos (CVE-2024-3094). O malware foi introduzido nas versões 5.6.0 e 5.6.1 e, como relata a OpenNet, conseguiu entrar nas compilações e repositórios do Gentoo, Arch Linux, Debian sid/unstable, Fedora Rawhide/40-beta, openSUSE factory/tumbleweed, LibreELEC, Alpine edge, Solus, CRUX, Cygwin, MSYS2 mingw, HP-UX, Homebrew, KaOS, NixOS instável, OpenIndiana, Parabola, PCLinuxOS, fogão e rolamento OpenMandriva, corrente pkgsrc, corrente Slackware, Manjaro, Void Linux. No entanto, o backdoor não pode ser ativado em todos os lugares.
A situação é agravada pelo facto de o promotor suspeito também ter estado envolvido em projectos comunitários relacionados nos últimos anos. Portanto, não há razão para confiar no código-fonte do xz até que todos os detalhes e consequências do ocorrido sejam esclarecidos. Em particular, o repositório correspondente no GitHub já está bloqueado com a mensagem: “O acesso a este repositório foi bloqueado pela equipe do GitHub devido a uma violação dos termos de serviço do GitHub”.
Recomenda-se que aqueles que conseguiram obter versões de software infectadas revertam para as versões 5.4.6 ou 5.4.1. A última opção é preferida já que esta versão foi gerada por um mantenedor anterior. O ataque em si revelou-se muito sofisticado e levou aproximadamente dois anos para ser implementado. O problema foi descoberto quase por acidente por um desenvolvedor que percebeu uma lentidão incomum (0,5 de diferença) no servidor ssh. Você pode acompanhar o desenvolvimento da situação no site do projeto.