Новости Бэкдор из XZ Utils добрался и до Rust: под ударом liblzma-sys

[NewsMaker]

Как долго исследователи безопасности будут выявлять проекты, затронутые февральской компрометацией?

---

---

Для просмотра ссылки Войди или Зарегистрируйся исследователей из компании Phylum проливает свет на серьёзную проблему безопасности, с которой столкнулось сообщество открытого программного обеспечения.

Как оказалось, в пакет Для просмотра ссылки Войди или Зарегистрируйся широко используемый Rust -разработчиками, просочились вредоносные тестовые файлы, связанные с Для просмотра ссылки Войди или Зарегистрируйся в инструменте сжатия данных XZ Utils, о котором весь Интернет Для просмотра ссылки Войди или Зарегистрируйся в конце прошлого месяца.

Пакет liblzma-sys, скачанный более 21 000 раз, предоставляет разработчикам на языке Rust доступ к реализации liblzma — библиотеке, являющейся частью XZ Utils. Под ударом оказалась версия 0.3.2 этого пакета.

Как сообщается на Для просмотра ссылки Войди или Зарегистрируйся на GitHub, открытой 9 апреля, «текущее распространение (v0.3.2) на Crates.io содержит тестовые файлы для XZ, которые включают в себя бэкдор». Речь идёт о файлах «tests/files/bad-3-corrupt_lzma2.xz» и «tests/files/good-large_compressed.lzma».

После ответственного раскрытия информации данные вредоносные файлы были удалены из liblzma-sys в версии 0.3.3, выпущенной 10 апреля. При этом предыдущая версия пакета была полностью удалена из реестра Crates.io.

Для просмотра ссылки Войди или Зарегистрируйся исследователи Snyk, хотя вредоносные тестовые файлы и были загружены в основной репозиторий liblzma-sys, из-за отсутствия вредоносных инструкций по сборке они никогда не вызывались и не выполнялись.

Бэкдор в XZ Utils Для просмотра ссылки Войди или Зарегистрируйся в конце марта этого года, когда инженер Microsoft Андрес Фройнд выявил вредоносные коммиты в утилите командной строки XZ, затрагивающие версии 5.6.0 и 5.6.1, выпущенные в феврале и марте. XZ Utils является популярным пакетом, интегрированным во многие дистрибутивы Linux.

Согласно исследованиям специалистов Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся изменения в исходном коде были направлены на возможность обхода средств аутентификации в SSH для удалённого выполнения кода, что могло позволить злоумышленникам взять под контроль систему.

Ранее Для просмотра ссылки Войди или Зарегистрируйся что за внедрением бэкдора в XZ Utils стоит некий Цзя Тан, личность которого могла быть выдумана и использована одной из хакерских группировок, спонсируемых Китаем или любой другой страной со своими интересами.

Обнаружение вредоносных файлов в liblzma-sys стало важным событием, предотвратившим потенциально серьёзные последствия как для сообщества разработчиков, так и для конечных пользователей. Однако также данный инцидент в очередной раз показал уязвимость популярных открытых проектов перед целенаправленными атаками злоумышленников, стремящихся внедрить вредоносный код в цепочку поставок программного обеспечения.