XZ恶意代码潜伏三年,差点引发核末日?后门投毒黑客身份成谜

AIGC动态7个月前发布 新智元
9 0 0

XZ恶意代码潜伏三年,差点引发核末日?后门投毒黑客身份成谜

AIGC动态欢迎阅读

原标题:XZ恶意代码潜伏三年,差点引发核末日?后门投毒黑客身份成谜
关键字:报告,后门,项目,版本,攻击者
文章来源:新智元
内容字数:7433字

内容摘要:


新智元报道编辑:好困 Aeneas
【新智元导读】这个周末,开源软件xz后门事件,直接引发了安全界地震!一段恶意代码被悄悄植入了,险些波及各大Linux系统。好在,或许是因为攻击者疏忽了,目前并未造成严重后果。但如果后门没被及时发现 ,结果将是灾难性的……整个周末,开源软件xz被植入后门事件,引发了安全界的轩然大波。
研究人员惊恐地发现,在包括Red Hat和Debian在内的多个广泛使用的Linux版本中,一款压缩工具被悄悄植入了恶意代码!
微软的安全研究员Andres Freund首次报告了这件事。
他发现,在这款名为xz Utils的工具的5.6.0和5.6.1版本中,都含有恶意代码。
而且,这段恶意代码极其复杂难解。
扒着扒着人们发现,这段代码是由一位名为Jia Tan的用户(JiaT75),通过四次代码变更(也即在GitHub上「提交」)的方式,植入到了Tukaani项目中。
这样,攻击者即使没有有效账号,也可以直接从SSHD访问系统了。
(SSHD是一个关键的二进制文件,负责SSH连接的工作。)
目前,GitHub已经禁用XZ Utils代码库,且还未收到漏洞被利用的报告


原文链接:XZ恶意代码潜伏三年,差点引发核末日?后门投毒黑客身份成谜

联系作者

文章来源:新智元
作者微信:AI_era
作者简介:智能+中国主平台,致力于推动中国从互联网+迈向智能+新纪元。重点关注人工智能、机器人等前沿领域发展,关注人机融合、人工智能和机器人革命对人类社会与文明进化的影响,领航中国新智能时代。

阅读原文
© 版权声明

相关文章

暂无评论

暂无评论...