Свежее открытиеисследователей из компании Phylum проливает свет на серьёзную проблему безопасности, с которой столкнулось сообщество открытого программного обеспечения.
Как оказалось, в пакет liblzma-sys, широко используемый Rust-разработчиками, просочились вредоносные тестовые файлы, связанные с бэкдором в инструменте сжатия данных XZ Utils, о котором весь Интернет гремел в конце прошлого месяца.
Пакет liblzma-sys, скачанный более 21 000 раз, предоставляет разработчикам на языке Rust доступ к реализации liblzma – библиотеке, являющейся частью XZ Utils. Под ударом оказалась версия 0.3.2 этого пакета.
Как сообщается на странице с проблемой на GitHub, открытой 9 апреля 2024 года, “текущее распространение (v0.3.2) на Crates.io содержит тестовые файлы для XZ, которые включают в себя
Бэкдоры могут быть внедрены в программное обеспечение как на этапе его разработки, так и уже в ходе его эксплуатации (например, через вредоносное ПО). Они могут быть использованы как для шпионажа, так и для удаленного управления системой или устройством.