打开网易新闻 查看精彩图片

Linux 世界最近经历了一场教科书级的供应链攻击。广泛使用的 xz 压缩工具——那个几乎每台 Linux 服务器都依赖的底层组件——被曝在 5.6.0 和 5.6.1 版本中植入了恶意代码,能让攻击者绕过 SSH 认证直接远程登录。

打开网易新闻 查看精彩图片

这事诡异之处在于攻击者的耐心。xz 项目维护者 Jia Tan 从 2022 年开始逐步获取代码提交权限,用了整整两年多时间建立信任,直到今年 3 月才动手。安全研究员 Andres Freund 在调试 SSH 性能异常时偶然发现端倪:「sshd 使用了异常多的 CPU,而 valgrind 报出大量 liblzma 相关错误。」

打开网易新闻 查看精彩图片

攻击手法相当精巧。恶意代码并未直接出现在 Git 仓库的源文件中,而是藏在一个经过混淆的 M4 宏里,只在打包发布的 tarball 中才会出现。构建过程中,这个宏会编译出第二段代码,最终劫持 systemd 对 sshd 的调用链路,在特定条件下为攻击者预留后门

Red Hat 确认 RHEL 全系未受影响,但 Fedora Rawhide 和 Fedora 40 beta 已经中招。Debian 不稳定版、openSUSE 等发行版也检测到被感染的构建产物。目前各发行版已紧急回滚至 5.4.x 版本,但过去几周内部署了受影响系统的管理员需要逐一排查。

Freund 的邮件列表帖子现在被安全圈反复引用。他原本只是在调查 Debian sid 上 SSH 登录慢了 0.5 秒的原因,结果挖出了可能是近十年最严重的开源供应链漏洞之一。