Как долго исследователи безопасности будут выявлять проекты, затронутые февральской компрометацией?
Свежее открытие исследователей из компании Phylum проливает свет на серьёзную проблему безопасности, с которой столкнулось сообщество открытого программного обеспечения.
Как оказалось, в пакет liblzma-sys, широко используемый Rust-разработчиками, просочились вредоносные тестовые файлы, связанные с бэкдором в инструменте сжатия данных XZ Utils, о котором весь Интернет гремел в конце прошлого месяца.
Пакет liblzma-sys, скачанный более 21 000 раз, предоставляет разработчикам на языке Rust доступ к реализации liblzma — библиотеке, являющейся частью XZ Utils. Под ударом оказалась версия 0.3.2 этого пакета.
Как сообщается на странице с проблемой на GitHub, открытой 9 апреля, «текущее распространение (v0.3.2) на Crates.io содержит тестовые файлы для XZ, которые включают в себя бэкдор». Речь идёт о файлах «tests/files/bad-3-corrupt_lzma2.xz» и «tests/files/good-large_compressed.lzma».
После ответственного раскрытия информации данные вредоносные файлы были удалены из liblzma-sys в версии 0.3.3, выпущенной 10 апреля. При этом предыдущая версия пакета была полностью удалена из реестра Crates.io.
Как пояснили исследователи Snyk, хотя вредоносные тестовые файлы и были загружены в основной репозиторий liblzma-sys, из-за отсутствия вредоносных инструкций по сборке они никогда не вызывались и не выполнялись.
Бэкдор в XZ Utils был впервые обнаружен в конце марта этого года, когда инженер Microsoft Андрес Фройнд выявил вредоносные коммиты в утилите командной строки XZ, затрагивающие версии 5.6.0 и 5.6.1, выпущенные в феврале и марте. XZ Utils является популярным пакетом, интегрированным во многие дистрибутивы Linux.
Согласно исследованиям специалистов SentinelOne и «Лаборатории Касперского», изменения в исходном коде были направлены на возможность обхода средств аутентификации в SSH для удалённого выполнения кода, что могло позволить злоумышленникам взять под контроль систему.
Ранее мы сообщали, что за внедрением бэкдора в XZ Utils стоит некий Цзя Тан, личность которого могла быть выдумана и использована одной из хакерских группировок, спонсируемых Китаем или любой другой страной со своими интересами.
Обнаружение вредоносных файлов в liblzma-sys стало важным событием, предотвратившим потенциально серьёзные последствия как для сообщества разработчиков, так и для конечных пользователей. Однако также данный инцидент в очередной раз показал уязвимость популярных открытых проектов перед целенаправленными атаками злоумышленников, стремящихся внедрить вредоносный код в цепочку поставок программного обеспечения.
Одно найти легче, чем другое. Спойлер: это не темная материя