Ataque à Cadeia de Suprimentos de Software Livre: O Incidente do Backdoor xz
Em março de 2024, foi descoberto um backdoor no xz, um software de compressão amplamente utilizado. Um mantenedor malicioso, usando o pseudônimo de Jia Tan, inseriu secretamente esse backdoor ao longo de três anos. O backdoor permitiu a execução remota de código em máquinas com ssh instalado. Sua descoberta foi acidental, por um desenvolvedor do Postgres que investigava problemas de desempenho não relacionados. Este artigo detalha a mecânica do backdoor e propõe o uso de reprodutibilidade de build para detecção. O backdoor envolveu a modificação do processo de build do xz para injetar um arquivo de objeto malicioso e alavancar o mecanismo ifunc do glibc para conectar a função RSA_public_decrypt do ssh. O autor defende a construção de software a partir de fontes confiáveis e o uso de reprodutibilidade de build para melhorar a segurança da cadeia de suprimentos de software, como comparar as versões do GitHub com os arquivos tarball fornecidos pelo mantenedor e verificar a consistência binária entre as fontes de build.