#Rust#

最近的一项新发现由 Phylum 泄露，触及与 XZ Utils 后门关系的“测试文献”，这些文献已渗入至名为 liblzma-sys 的 Rust 库包中。适度敷陈之时，liblzma-sys 仍是获取了突出 21,000 次下载量，它为 Rust 拓荒者提供了与数据压缩软件 XZ Utils 中的 liblzma 库赶走的绑定功能。受到此问题影响的版块为 0.3.2。

Phylum 在2024年4月9日创建的一个GitHub问题中指出，Crates.io 现时发布的 v0.3.2 版块包含了含有后门的 XZ 测试文献。值得注见识是，这些测试文献并未包含在 GitHub 上对应的 .tar.gz 或 .zip 标签打包文献中，仅存在于通过 Crates.io 装置的 liblzma-sys_0.3.2.crate 文献内。

在公开此问题后，涉事文献"tests/files/bad-3-corrupt_lzma2.xz"和"ests/files/good-large_compressed.lzma"已于4月10日发布的 liblzma-sys 0.3.3 版块中被移除，况兼先前版块的库包也从注册表中除掉。

Snyk 公司在其公告中说起，诚然这些坏心测试文献源自上游提交，但由于上游存储库中不存在触发坏心构建教导，它们施行上并未被调用或实践。

XZ Utils 后门最早是在2024年3月下旬由微软工程师 Andres Freund 发现的，它影响到了同庚2月和3月发布的 5.6.0 及 5.6.1 版块，这两个版块已被平常集成到多个Linux刊行版中。

坏心代码是由又名当今已被暂停账号的GitHub用户JiaT75（别号 Jia Tan）提交的，该代码假想可笼罩SSH中的身份考证适度并赶走辛劳代码实践，从而使挫折者可能采纳系统。SentinelOne的探讨东谈主员Sarthak Misraa和Antonio Pirozzi指出，这次全面的入侵捏续了突出两年的技艺，自2021年10月29日起，该挫折者启动向xz花样作出孝顺。

跟着冉冉增多的参与度，该挫折者在社区中赢得了声誉和信任，并缓缓更动为更为活跃的孝顺者。把柄俄罗斯网罗安全公司卡巴斯基的分析，后门操作聘任了多设施进程：通过修改构建基础设施源代码（即引入特等文献build-to-host.m4），从测试案例文献（bad-3-corrupt_lzma2.xz）中抽取下一阶段的剧本，这些剧本继而从另一测试文献（good-large_compressed.lzma）中索求坏心二进制组件，并在编译进程中与正当库集会，进而送至Linux存储库。

该有用载荷本色上是一个shell剧本，用于索乞降实践后门表率，该后门对接特定函数（如RSA_public_decrypt、EVP_PKEY_set1_RSA和RSA_get0_key），从而赶走对总计与受感染机器成立的SSH同一进行监控。

镶嵌liblzma中的后门主要见识在于操控Secure Shell看守程度（sshd），监视在SSH会话启动时挫折者发送的大喊，从而巧妙地创造了一种辛劳代码实践的可能性。

尽管实时发现这一后门，防护了Linux生态系统的平常碎裂，但这起事件再次警示咱们开源软件包宝贵者正成为社会工程挫折的缱绻，此类挫折旨在进行软件供应链挫折。在这个具体案例中，挫折采用了一种有组织、有合营的作为容貌，可能触及多个冒充拓荒者的账户，他们用心运筹帷幄了一系列压力作为，促使花样长久宝贵者给与新共作家以添加更多功能和成立问题。

ReversingLabs强调，多数来自之前未知拓荒者账户的开源代码孝顺以及跟随的压力作为揭示了这场诓骗伪造拓荒者账户进行的社会工程作为，其见识是将坏心代码玄机植入一个平常应用的开源花样中。

SentinelOne的探讨东谈主员流露，JiaT75在5.6.0与5.6.1版块间所作的隐讳代码改革娇傲出，这些修改是为了升迁后门的模块化程度，并可能植入更多的坏心软件。

截止2024年4月9日，与XZ Utils关系的源代码存储库已在GitHub上还原，此前由于违背处事要求而被禁用了接近两周的技艺。尽管面前尚无法笃定这次行动背后的具体发起者十分真确见识，但鉴于其背后的成全运筹帷幄和复杂性，有事理怀疑实施这次挫折的步履者为国度撑捏的实体。

卡巴斯基操心谈：“这个后门机制极其复杂欧洲杯app，聘任了精密范例以笼罩检测。”