打开网易新闻 查看精彩图片

Red Hat本周发出紧急警告,开源社区遭遇了一次教科书级的供应链攻击。攻击者把恶意代码塞进了xz压缩工具的5.6.0和5.6.1版本,这个几乎存在于所有Linux发行版里的基础组件,成了绕过SSH认证的万能钥匙。

打开网易新闻 查看精彩图片

攻击手法相当隐蔽。恶意代码没有直接躺在Git仓库里,而是藏在一个经过混淆的M4宏中,只有下载完整发行包才能触发。编译时这个宏会生成第二阶段载荷,篡改liblzma库的行为,最终让sshd的认证流程变成摆设。换句话说,攻击者不需要密码就能远程登录你的服务器

打开网易新闻 查看精彩图片

Red Hat确认企业版RHEL未受影响,但Fedora Rawhide和Fedora 40 beta已经中招。Debian不稳定版和openSUSE的部分发行版也被波及。Fedora用户现在需要强制降级到5.4.x版本,Rawhide用户甚至被建议"完全停止使用"直到系统回滚。

这次事件最细思极恐的地方在于时间线。xz作为一个由个人维护的项目,攻击者显然花了足够长的时间建立信任,才在某个版本更新里埋进这颗雷。安全研究员Andres Freund在排查SSH性能异常时偶然发现了这个后门——如果攻击代码再优化一点,可能至今没人察觉。

目前各大发行版都在紧急推送降级方案。但这件事给开源供应链敲的警钟是:当你免费使用一个"个人爱好项目"支撑生产环境时,最好确认自己真的了解谁在维护它。