XZ惡意代碼潛伏三年，差點引發核末日？投毒黑客身份成謎

AIGC動態歡迎閱讀

原標題：XZ惡意代碼潛伏三年，差點引發核末日？投毒黑客身份成謎
關鍵字：報告,,項目,版本,攻擊者
文章來源：新智元
內容字數：7433字

內容摘要：

新智元報道編輯：好困 Aeneas
【新智元導讀】這個周末，開源軟件xz，直接引發了安全界！一段惡意代碼被悄悄植入了，險些波及各大Linux系統。好在，或許是因為攻擊者疏忽了，目前并未造成嚴重后果。但如果沒被及時發現 ，結果將是災難性的……整個周末，開源軟件xz被植入，引發了安全界的軒然。
研究人員驚恐地發現，在包括Red Hat和Debian在內的多個廣泛使用的Linux版本中，一款壓縮工具被悄悄植入了惡意代碼！
微軟的安全研究員Andres Freund首次報告了這件事。
他發現，在這款名為xz Utils的工具的5.6.0和5.6.1版本中，都含有惡意代碼。
而且，這段惡意代碼極其復雜難解。
扒著扒著人們發現，這段代碼是由一位名為Jia Tan的用戶（JiaT75），通過四次代碼變更（也即在GitHub上「提交」）的方式，植入到了Tukaani項目中。
這樣，攻擊者即使沒有有效賬號，也可以直接從SSHD訪問系統了。
（SSHD是一個關鍵的二進制文件，負責SSH連接的工作。）
目前，GitHub已經禁用XZ Utils代碼庫，且還未收到漏洞被利用的報告

原文鏈接：XZ惡意代碼潛伏三年，差點引發核末日？投毒黑客身份成謎

聯系作者

文章來源：新智元
作者微信：AI_era
作者簡介：智能+中國主平臺，致力于推動中國從互聯網+邁向智能+新紀元。重點關注人工智能、機器人等前沿領域發展，關注人機融合、人工智能和機器人對人類社會與文明進化的影響，領航中國新智能時代。