Andres Freund นักพัฒนาจากไมโครซอฟท์รายงานถึงโค้ดของโครงการ xz โปรแกรมบีบอัดที่ได้รับความนิยมกว้างขวาง แต่มีสัปดาห์ที่ออกมามีเวอร์ชั่นใหม่ 5.6.0 และ 5.6.1 ที่มีพฤติกรรมแปลกๆ เมื่อสอบสวนเพิ่มเติมกลับพบว่าโค้ดเหล่านี้ถูกใส่เพิ่มเข้ามาในสคริปต์ build จาก tarball โดยไม่มีโค้ดใน repository จริง
จากการสอบสวนเพิ่มเติม พบว่าแม้ตัวโค้ดเองจะไม่ได้ทำงานผิดปกติอะไรเมื่อไลบรารี liblzma
ถูกเรียกจาก OpenSSH ไลบรารีจะพยายามแทรกฟังก์ชั่นเข้าไปแทนฟังก์ชั่นถอดรหัสกุญแจ RSA ใน OpenSSH แม้จะยังไม่มีข้อมูลเต็มรูปแบบว่าโค้ดพยายามทำอะไร แต่ก็แสดงเจตนาว่านักพัฒนาพยายามแทรกโค้ดเพื่อเจาะระบบ secure shell
Richard WM Jones นักพัฒนาจาก Red Hat ออกมาระบุว่านักพัฒนา xz พยายามผลักดันโค้ดเวอร์ชั่นใหม่นี้เข้าไปยัง Fedora 40 ให้ได้ แต่ล่าช้าเพราะติดการทดสอบหน่วยความจำจากโปรแกรม Valgrind ซึ่งเป็นผลจากโค้ดที่พยายามสร้างช่องโหว่นั่นเอง ตัว Andres ก็ระบุว่าโค้ดที่ถูกแทรกเข้ามาอาจจะมาจากตัวนักพัฒนาเองหรือไม่ก็เครื่องของนักพัฒนาถูกแฮก แต่ดูจากแนวทางการสื่อสารแล้วดูน่าสงสัยว่าตัวนักพัฒนาจะตั้งใจมากกว่า
นักพัฒนาของ xz ที่พยายามผลักดันเวอร์ชั่นนี้คือ JiaT75 เขามีส่วนร่วมในโครงการ xz มานานถึงสองปี ตอนนี้บัญชีของทุกคนในโครงการ xz ถูก GitHub แบนไปแล้ว
xz เวอร์ชั่นที่ได้รับผลกระทบยังมีการใช้งานไม่กว้างนัก เช่น Fedora Rawhide ที่เป็นเวอร์ชั่นพัฒนา ส่วนทางด้าน Debian นั้น เพิ่งรวมแพ็กเกจเข้ามาในเวอร์ชั่นทดสอบไม่กี่วันเท่านั้น แต่ตอนนี้ทีมงาน Debian ก็กำลังถอดโค้ดทั้งหมดของ JiaT75 ออกทั้งหมดโดยย้อนไปถึงเวอร์ชั่น 5.4.5
Comments
oof
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
อะไรกันเนี่ย
..: เรื่อยไป
โห..ดีนะMs เข้ามามีส่วนร่วมหลายๆอย่าง
WTH
ใครใช้ Fedora เป็น OS หลัก น่าจะเป็นเป้าหมายในการโจมตี คิดว่ามูฟนี้คงเป็นส่วนหนึ่งในสงครามจารกรรมทรัพย์สินทางปัญญา ลงทุนแฝงตัวขนาดนี้ก็น่าจะเป็นคนจาก Intelligent Communities แหละ
ไม่ใช่เรื่องจารกรรมทรัพย์สินทางปัญญาครับ
มันเป็นการสร้าง backdoor เพื่อหวังผลสูงกว่านั้นมาก ระดับยึดเครื่อง เข้าถึงระบบระดับสูงในองค์กทุกระดับ และการเอา code ตัวนี้เข้า Fedora นั่นหมายถึงมันจะเข้าไปอยู่ใน RHEL ซึ่งหวังผลอนาคต เพราะ RHEL เป็น Distro ที่นิยมใช้ในระดับองค์กร(จ่ายเงินใช้)
ใน GitHub เริ่มมีการสอบสวนเหมือน Windows 11 อาจได้ผลกระทบจาก JiaT75 ไปด้วยจากไลบารี Libarchive ที่ทำให้ Windows 11 เปิดไฟล์ tar.xz ได้ด้วย
ส่วน Lasse Collin ที่ดูแลXZ Utils ออกประกาศสั้น ๆ https://tukaani.org/xz-backdoor/
บล็อก: wannaphong.com และ Python 3
รับงานมาแน่ๆ 😂