打开网易新闻 查看精彩图片

开源社区这两天经历了一场冷汗直冒的捉迷藏。Red Hat在4月1日紧急预警:xz压缩工具——这个几乎存在于每台Linux机器里的基础组件——被植入了精心设计的后门代码。

打开网易新闻 查看精彩图片

攻击者不是临时起意。安全研究人员回溯发现,恶意代码藏在5.6.0和5.6.1两个版本中,通过混淆的M4宏触发,在软件编译时才现形。这种手法像极了在面粉厂流水线里塞入只在特定温度下膨胀的添加剂:平时检测不出,一旦条件满足,就会篡改sshd的认证流程,让攻击者绕过SSH登录验证直接进门。

打开网易新闻 查看精彩图片

Red Hat安全公告里有一句值得玩味:「恶意代码并未在Fedora 40构建中成功执行」。换句话说,后门虽然埋进去了,但还没炸——至少在他们观察到的范围内。Fedora Rawhide和40 beta用户被点名要求立即停用系统,Debian unstable和openSUSE部分发行版也确认中招。

这场供应链攻击的蹊跷之处在于时间线。xz作为通用压缩格式,维护权限相对集中;攻击者要渗透发布流程、长期潜伏而不触发社区审计,需要的不只是技术能力。目前受影响版本已被强制回滚至5.4.x,但系统管理员们今晚大概睡不踏实——谁知道还有多少基础工具正在被「温柔地」修改。