微软工程师发现XZUtils中的恶意代码引发供应链攻击,攻击者利用原维护者精疲力尽的时机接手并获得信任。邮件记录显示,社区期望在项目发展中得到更多投入,但实际帮助寥寥,攻击者可能成为关键角色。
XZ Utils: 使用 LZMA 算法的开源数据压缩工具,被许多 Unix-like 系统(如 Linux、FreeBSD 等)和各种软件项目广泛采用。
事件: 微软工程师在 3 月 29 日发现,XZ 软件包含有恶意代码,用于供应链攻击。攻击者名为“Jia Tan”,是黑客团伙虚构的开发者,作为“间谍”,从两年前就积极为 XZ 项目做贡献,并逐渐取得了信任。
原文:Rob Mensching - 2024.03.30
最初是 Twitter 上关于 xz/liblzma 漏洞的帖子,当写完它时,我意识到这是一次真实的开源互动片段,值得我们更深入地关注。
关于 xz/liblzma 漏洞,将会有大量的分析。然而,我发现大多数分析,都忽略了攻击发生前的步骤:
- 原始维护者精疲力尽,只有攻击者提供帮助(因此攻击者继承了原始维护者建立的信任)
令人惊讶
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
