xz 發現有惡意後門，幸好早期發現躲過供應鏈攻擊

開源軟體雖好用，不過也暴露於惡意程式碼滲透風險下，最近開源壓縮庫就發現遭植入後門，幸好及早發現，避免大規模損害。

開源壓縮庫 xz 最近由微軟安全專家 Andres Freund 發現軟體套件 liblzma 有個巧妙隱藏的後門，可改變受感染系統 SSH 守護程式執行，完全遠端控制，影響相當嚴重，攻擊者可於 SSH 連接初始化時特定條件遠端操控電腦。

🤯 The level of sophistication of the XZ attack is very impressive! I tried to make sense of the analysis in a single page (which was quite complicated)!

I hope it helps to make sense of the information out there. Please treat the information “as is" while the analysis… pic.twitter.com/N11klcymeP

— Thomas Roccia 🤘 (@fr0gger_) March 31, 2024

xz 不少 Linux 版本甚至 macOS 都有採用，如發布壓縮 tar 封包和內核映像等，還好此後門只影響少數 Linux 版本就被發現。此事件也顯示開源社群的隱憂，xz 原開發者 Lasse Collin 已不再維護，惡意代碼為帳號 Jia Tan 的開發者陸續加入，外界猜測是其精心策劃的行動。

專家認為，開源開發者很多都是無償貢獻，要他們回頭維護公開有段時日的專案其實不容易，使用者需更小心。