Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Бэкдор из XZ Utils добрался до Rust: под ударом liblzma-sys

15/04/24

backdoor3-Apr-15-2024-11-48-46-5568-AM

Свежее открытие исследователей из компании Phylum проливает свет на серьёзную проблему безопасности, с которой столкнулось сообщество открытого программного обеспечения.

Как оказалось, в пакет liblzma-sys, широко используемый Rust-разработчиками, просочились вредоносные тестовые файлы, связанные с бэкдором в инструменте сжатия данных XZ Utils, о котором весь Интернет гремел в конце прошлого месяца.

Пакет liblzma-sys, скачанный более 21 000 раз, предоставляет разработчикам на языке Rust доступ к реализации liblzma — библиотеке, являющейся частью XZ Utils. Под ударом оказалась версия 0.3.2 этого пакета, пишет Securitylab.

Как сообщается на странице с проблемой на GitHub, открытой 9 апреля, «текущее распространение (v0.3.2) на Crates.io содержит тестовые файлы для XZ, которые включают в себя бэкдор». Речь идёт о файлах «tests/files/bad-3-corrupt_lzma2.xz» и «tests/files/good-large_compressed.lzma».

После ответственного раскрытия информации данные вредоносные файлы были удалены из liblzma-sys в версии 0.3.3, выпущенной 10 апреля. При этом предыдущая версия пакета была полностью удалена из реестра Crates.io.

Как пояснили исследователи Snyk, хотя вредоносные тестовые файлы и были загружены в основной репозиторий liblzma-sys, из-за отсутствия вредоносных инструкций по сборке они никогда не вызывались и не выполнялись.

Бэкдор в XZ Utils был впервые обнаружен в конце марта этого года, когда инженер Microsoft Андрес Фройнд выявил вредоносные коммиты в утилите командной строки XZ, затрагивающие версии 5.6.0 и 5.6.1, выпущенные в феврале и марте. XZ Utils является популярным пакетом, интегрированным во многие дистрибутивы Linux.

Согласно исследованиям специалистов SentinelOne и «Лаборатории Касперского», изменения в исходном коде были направлены на возможность обхода средств аутентификации в SSH для удалённого выполнения кода, что могло позволить злоумышленникам взять под контроль систему.

Ранее мы сообщали, что за внедрением бэкдора в XZ Utils стоит некий Цзя Тан, личность которого могла быть выдумана и использована одной из хакерских группировок, спонсируемых Китаем или любой другой страной со своими интересами.

Обнаружение вредоносных файлов в liblzma-sys стало важным событием, предотвратившим потенциально серьёзные последствия как для сообщества разработчиков, так и для конечных пользователей. Однако также данный инцидент в очередной раз показал уязвимость популярных открытых проектов перед целенаправленными атаками злоумышленников, стремящихся внедрить вредоносный код в цепочку поставок программного обеспечения.

Темы:УгрозыбэкдорыПрограммное обеспечениеSentinelOneRUST
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...