Linux 是世界上使用最广泛的开放源代码操作系统，它在复活节周末勉强躲过了一次大规模的网络攻击，这一切都要归功于一名志愿者。这个后门被植入了最近发布的一个名为 XZ Utils 的 Linux 压缩格式中，这个工具在 Linux 世界之外鲜为人知，但几乎每个 Linux 发行版都使用它来压缩大文件，使其更易于传输。如果它的传播范围更广，可能会有数不清的系统被入侵数年之久。

正如Ars Technica在其详尽的回顾中所指出的，罪犯一直在公开进行该项目，潜伏时间已两年有余。

这个被植入 Linux 远程登录的漏洞只暴露了自己的一个密钥，因此可以躲过公共计算机的扫描。正如本-汤普森（Ben Thompson）在《战略》（Stratechery）杂志上写道："世界上绝大多数电脑都存在漏洞，却无人知晓"。

XZ 后门被发现的故事始于 3 月 29 日凌晨 旧金山的微软开发人员安德烈斯-弗罗因德在 Mastodon 上发帖并向 OpenWall 的安全邮件列表发送了一封电子邮件，标题为"上游 xz/liblzma 中的后门导致 ssh 服务器被入侵"

Freund 是 PostgreSQL（一种基于 Linux 的数据库）的"维护者"，他在过去几周的测试中发现了一些奇怪的现象。XZ压缩库的一部分 liblzma 的加密登录占用了大量 CPU。弗罗因德在 Mastodon 上写道，他使用的所有性能工具都没有发现任何问题。这立刻让他产生了怀疑，他想起了几周前一位Postgres用户对Valgrind（Linux检查内存错误的程序）的"奇怪抱怨"。

经过一番调查，Freund 最终发现了问题所在。弗罗因德在邮件中指出："上游 xz 代码库和 xz 压缩包都被做了后门。恶意代码存在于 5.6.0 和 5.6.1 版本的 xz 工具和库中。"

不久之后，企业级开源软件公司红帽（Red Hat）向 Fedora Rawhide 和 Fedora Linux 40 的用户发出了紧急安全警报。最终，该公司得出结论，Fedora Linux 40 测试版包含两个受影响的 xz 库版本。Fedora Rawhide 版本很可能也收到了 5.6.0 或 5.6.1 版本。

请立即停止在工作或个人活动中使用任何 Fedora Rawh196世界之最ide 实例。Fedora Rawhide 将很快恢复到 xz-5.4.x，一旦恢复完成，Fedora Rawhide 实例就可以安全地重新部署了。

尽管免费 Linux 发行版 Debian 的一个测试版包含了被破解的软件包，但其安全团队还是迅速采取了行动，将其恢复了原样。"Debian的Salvatore Bonaccorso在周五晚上向用户发出的安全警报中写道："目前还没有Debian稳定版本受到影响。

弗罗因德后来确认，提交恶意代码的人是两名主要 xz Utils 开发人员之一，即 JiaT75 或 Jia Tan。"鉴于几周来的活动，提交者要么是直接参与其中，要么是他们的系统受到了相当严重的破坏。"弗罗因德在分析中写道："不幸的是，后者看起来不太可能，因为他们在各种列表上交流了上述'修复'方法。"

JiaT75 是一个耳熟能详的名字：他们曾与 .xz 文件格式的原始开发者 Lasse Collin 并肩工作过一段时SZMIlOi间。程序员拉斯-考克斯（Russ Cox）在他的事件时间轴页面中指出，202www.196nk.cn1 年 10 月，JiaT75 开始向 XZ 邮件列表发送看似合法的补丁。

几个月后，该计划的其他部分开始展开，另外两个身份，Jigar Kumar 和 Dennis Ens，开始通过电子邮件向科林抱怨漏洞和项目发展缓慢。然而，正如Evan Boehs等人在报告中指出的，"Kumar"和"Ens"从未在 XZ 社区之外出现过，这让调查人员相信这两个人都是假冒的，他们的存在只是为了帮助贾炭就位，以交付www.196nk.cn被破解的代码。

"我对你的精神健康问题感到遗憾，但意识到自己的极限很重要。我知道这对所有贡献者来说都是一个业余项目，但社区需要更多。"恩斯在一条信息中写道，而库马尔则在另一条信息中说："在有新的维护者之前，不会有任何进展。"

在这来来回回的过程中，柯林斯写道："我并没有失去兴趣，但主要由于长期的精神健康问题，也由于其他一些事情，我的照顾能力受到了相当大的限制"，并建议贾坦承担更大的角色。"他最后说："最好记住，这是一个无偿的业余项目。"来自"Kumar"和"Ens"的邮件持续不断，直到那年晚些时候，Tan 被添加为维护者，能够进行修改，并尝试将 backdoored 软件包以更权威的方式发布到 Linux 发行版中。

xz 后门事件及其后果既体现了开放源代码的魅力，也是互联网基础设施中一个引人注目的漏洞。

流行的开源媒体软件包 FFmpeg 的开发者在一条推文中强调了这一问题，他说："xz 事件表明，对无偿志愿者的依赖会导致重大问题。价值数万亿美元的公司希望从志愿者那里获得免费的紧急支持"。他们还带来了收据，指出他们是如何处理影响 Microsoft Teams 的"高优先级"漏洞的。"

尽管微软依赖其软件，但该开发人员写道："在礼貌地要求微软提供长期维护的支持合同后，他们却提出一次性支付几千美元......维护和可持续发展方面的投资并不性感，可能不会给中层经理带来升职机会，但多年后会得到成千上万倍的回报"。

关于"JiaT75"的幕后黑手、他们如何实施计划以及破坏程度的详细信息，正在被一大批开发人员和网络安全专业人员在社交媒体和在线论坛上挖掘出来。但是，这一切都离不开许多因使用安全软件而受益的公司和组织的直接资金支持。