今天Linux 社群最關注的事情就是xz-utils (以前被稱為LZMA Utils) 專案被植入後門的事情，xz 是被Linux 發行版廣泛使用的壓縮格式之一，xz-utils 是一個開源項目，2022年起有個名為Jia Tan 的帳號開始為該專案貢獻程式碼，然後逐步接手專案成為專案的主要貢獻者。

日前該專案被發現存在後門，這些惡意程式碼旨在允許未經授權的訪問，具體來說影響xz-utils 5.6.0 和5.6.1 版中，而且這些受影響的版本已經被多個Linux 發行版合併。

簡單來說這是一起供應鏈投毒事件，攻擊者透過上游開源專案投毒，最終隨著專案整合影響Linux 發行版，包括Fedora Linux 40/41 等作業系統已經確認受該問題影響。

惡意程式碼的目的：

RedHat 經過分析後認為，這次駭客添加的惡意程式碼會透過systemd 幹擾sshd 的身份驗證，SSH 是遠端連接系統的常見協議，而sshd 是允許存取的服務。

在適當的情況下，這種幹擾可能會讓駭客破壞sshd 的身份驗證並獲得整個系統的遠端未經授權的存取(無需SSH 密碼或金鑰)。

RedHat 確認Fedora Linux 40/41、Fedora Rawhide 受該問題影響，RHEL 不受影響，其他Linux 發行版應該也受影響，具體用戶可以在開發人員網站獲取資訊。

建議立即停止使用受影響版本：

如果你使用的Linux 發行版受上述後門程式影響，RedHat 的建議是無論個人或商業目的，都應該立即停止使用。

之後請查詢Linux 發行版的開發人員取得安全建議，包括檢查和刪除後門程式、回溯或更新xz-utils 等。

孤獨的開源貢獻者問題：

這裡還需要額外討論一個開源專案的問題，xz-utils 儘管被全世界的Linux 發行版、壓縮軟體廣泛使用，但在之前只有一名活躍的貢獻者在維護這個專案。

這個孤獨的貢獻者可能因為精力不夠或其他原因，在遇到一名新的貢獻者時，隨著時間的推移，在獲取信任後，這位新貢獻者逐漸獲得了項目的更多控制權。

實際上這位駭客應該也是精心挑選的項目，知道這種情況下可能更容易取得控制權，於是從2022 年開始就貢獻代碼，直到成為主要貢獻者後，再實施自己的後門行動。

未來這類針對開源專案的供應鏈攻擊應該還會顯著增加，這對整個開源社群來說應該都是頭痛的問題。