Сегодня 14 октября 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

В Ubuntu и ещё несколько ОС на Linux внедрили опасный код — его нашёл разработчик из Microsoft

Red Hat на этой неделе сообщила, что последние версии операционных систем Fedora содержат вредоносный код, обеспечивающий доступ к системе через бэкдор, а затем аналогичное предупреждение последовало от Debian и Ubuntu. Наткнулся на опасный эксплойт разработчик Microsoft Андрес Фройнд (Andres Freund) в результате череды совпадений и случайностей, заинтересовавшись нетипично высокой нагрузкой центрального процессора со стороны процесса sshd.

 Источник изображения: Pixabay

Источник изображения: Pixabay

29 марта Фройнд проводил тестирование своих систем, в ходе которого он заметил, что процесс sshd использует слишком много вычислительных ресурсов, а вход в систему через протокол удалённого доступа из командной строки занимает примерно на 0,5 секунды больше времени, чем обычно. Заинтересовавшись, он начал углублённое изучение проблемы и обнаружил, что большая часть вычислительных ресурсов была потрачена на некий процесс liblzma, являющийся частью пакета xz-utils. Это положило начало изучению сложного бэкдора в xz-utils, авторство которого приписывается неизвестному злоумышленнику c псевдокитайским именем Цзя Тан (Jia Tan).

Особый интерес вызывает запутанная история внедрения этого эксплойта, основанная на принципах социальной инженерии. По словам исследователя Эвана Боеса (Evan Boehs), Тан создал учётную запись на GitHub в 2021 году и начал вносить в различные проекты «несколько подозрительные коммиты». В 2022 году Тан отправил в проект xz-utils свой первый коммит. Хотя он не предлагал серьёзных изменений, но после его появления на владельца xz-utils Лассе Коллина (Lasse Collin) стало оказываться давление со стороны нескольких участников проекта с требованиями добавить в него ещё одного куратора по причине якобы некачественного сопровождения.

Поддавшись напору, Коллин добавил Тана в качестве ещё одного сопровождающего проекта xz-utils, что позволило Тану добавлять код. Со временем Тан стал довольно авторитетной фигурой в проекте, и увеличил контроль над ним. Это позволило Тану внедрить в код проекта окончательные компоненты бэкдора при помощи нескольких тестовых файлов. Через некоторое время новая версия xz-utils с вредоносным кодом вошла в такие операционные системы, как Fedora, Debian и Ubuntu. Неизвестно, сколько вреда мог бы принести этот бэкдор, если бы Фройнд оказался менее внимательным человеком.

 Источник изображения: Andres Freund

Источник изображения: Andres Freund

Эксперты по безопасности полагают, что Цзя Тан не является реальным человеком, а скорее представляет собой виртуального персонажа с именем, созвучным китайскому. Некоторые исследователи считают, что за попыткой внедрения эксплойта стоит государство, и что это была попытка заложить основу для некоторых вредоносных и почти необнаружимых активностей. Теперь Коллину предстоит разобраться с этой проблемой и убедиться в отсутствии других вредоносных фрагментов кода в своём проекте. Возможно, другим кураторам проектов на GitHub также стоит внимательно изучить историю их изменений.

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
В популярнейшем архиваторе 7-Zip обнаружены две уязвимости, позволяющие удалённо взламывать ПК 5 ч.
Microsoft затруднит доступ к режиму Internet Explorer в Edge из-за атак хакеров — уязвимости останутся без патчей 6 ч.
Painkiller, «Герои Меча и Магии», новый «Мор» и многое другое: в Steam стартовал фестиваль «Играм быть» с тысячами демоверсий 7 ч.
В поиске Google теперь можно скрывать рекламу — но посмотреть её всё равно придётся 7 ч.
Apple TV+ превратился в просто Apple TV — стриминговый сервис ждёт «яркая новая идентичность» 7 ч.
«Они абсолютно не понимают, за что полюбили вторую часть»: геймплейный трейлер Disciples: Domination оставил фанатов серии в недоумении 8 ч.
Новый геймплейный трейлер раскрыл дату релиза Pathologic 3 — в 2025 году игра всё-таки не выйдет 8 ч.
«Просто огонь… вода, земля, воздух»: фанатов впечатлил первый геймплей файтинга Avatar Legends: The Fighting Game по «Аватару: Легенда об Аанге» 9 ч.
Календарь релизов — 13–19 октября: Steam Next Fest, Keeper, Ball x Pit и Pokémon Legends: Z-A 11 ч.
Лавкрафтианский хоррор-шутер Beneath не заставит себя долго ждать — новый трейлер, дата выхода и демоверсия в Steam 12 ч.
Колл-центры перешли на мобильные номера, чтобы избежать платной маркировки при звонках россиянам 11 мин.
Ошибка в Google Play Services вызвала хаос в новых Pixel 10 — приложения «падают» 13 мин.
OCP запустила инициативу Open Data Center for AI для стандартизации инфраструктуры передовых ИИ ЦОД с мегаваттными стойками 3 ч.
Новая статья: Обзор смартфона Google Pixel 10 Pro XL: магнитная аномалия 5 ч.
Vivo представила смарт-часы Watch GT 2 с автономностью до 33 дней, большим экраном и eSIM 5 ч.
Неубиваемый смартфон Honor X9d с батареей на 8300 мА·ч поступил в продажу в России — от 33 990 рублей 7 ч.
Энтузиасты починили продырявленную GeForce RTX 5070 Ti с помощью AMD Radeon RX 580 9 ч.
Складной iPhone Fold будет дешевле, чем ожидалось — Apple нашла способ сэкономить 9 ч.
OpenAI превратится в чипмейкера — Broadcom поможет проложить «путь к будущему ИИ» на 10 ГВт 10 ч.
Cooler Master выпустит корпус-сервант MasterFrame 360 с витриной для фигурок 10 ч.