Бэкдор из XZ Utils добрался и до Rust: под ударом liblzma-sys

Свежее открытие исследователей из компании Phylum проливает свет на серьёзную проблему безопасности, с которой столкнулось сообщество открытого программного обеспечения.

Как оказалось, в пакет liblzma-sys, широко используемый Rust -разработчиками, просочились вредоносные тестовые файлы, связанные с бэкдором в инструменте сжатия данных XZ Utils, о котором весь Интернет гремел в конце прошлого месяца.

Пакет liblzma-sys, скачанный более 21 000 раз, предоставляет разработчикам на языке Rust доступ к реализации liblzma — библиотеке, являющейся частью XZ Utils. Под ударом оказалась версия 0.3.2 этого пакета.

Как сообщается на странице с проблемой на GitHub, открытой 9 апреля, «текущее распространение (v0.3.2) на Crates.io содержит тестовые файлы для XZ, которые включают в себя бэкдор». Речь идёт о файлах «tests/files/bad-3-corrupt_lzma2.xz» и «tests/files/good-large_compressed.lzma».

После ответственного раскрытия информации данные вредоносные файлы были удалены из liblzma-sys в версии 0.3.3, выпущенной 10 апреля. При этом предыдущая версия пакета была полностью удалена из реестра Crates.io.

Как пояснили исследователи Snyk, хотя вредоносные тестовые файлы и были загружены в основной репозиторий liblzma-sys, из-за отсутствия вредоносных инструкций по сборке они никогда не вызывались и не выполнялись.

Бэкдор в XZ Utils был впервые обнаружен в конце марта этого года, когда инженер Microsoft Андрес Фройнд выявил вредоносные коммиты в утилите командной строки XZ, затрагивающие версии 5.6.0 и 5.6.1, выпущенные в феврале и марте. XZ Utils является популярным пакетом, интегрированным во многие дистрибутивы Linux.

Согласно исследованиям специалистов SentinelOne и «Лаборатории Касперского», изменения в исходном коде были направлены на возможность обхода средств аутентификации в SSH для удалённого выполнения кода, что могло позволить злоумышленникам взять под контроль систему.

Ранее мы сообщали, что за внедрением бэкдора в XZ Utils стоит некий Цзя Тан, личность которого могла быть выдумана и использована одной из хакерских группировок, спонсируемых Китаем или любой другой страной со своими интересами.

Обнаружение вредоносных файлов в liblzma-sys стало важным событием, предотвратившим потенциально серьёзные последствия как для сообщества разработчиков, так и для конечных пользователей. Однако также данный инцидент в очередной раз показал уязвимость популярных открытых проектов перед целенаправленными атаками злоумышленников, стремящихся внедрить вредоносный код в цепочку поставок программного обеспечения.