هجوم على سلسلة التوريد للمصدر المفتوح: حادثة باب خلفي xz
في مارس 2024، تم اكتشاف باب خلفي في xz، وهو برنامج ضغط مستخدم على نطاق واسع. قام مُدير خبيث، مستخدماً اسم مستعار جيا تان، بإدراج هذا الباب الخلفي سرا على مدار ثلاث سنوات. سمح الباب الخلفي بتنفيذ التعليمات البرمجية عن بُعد على الأجهزة التي تم تثبيت ssh عليها. كان اكتشافه عرضيًا، من قِبل مطور Postgres كان يحقق في مشاكل الأداء غير ذات الصلة. توضح هذه المقالة آلية الباب الخلفي وتقترح استخدام إمكانية إعادة إنتاج عملية البناء للكشف عنه. تضمن الباب الخلفي تعديل عملية بناء xz لحقن ملف كائن خبيث، واستغلال آلية ifunc من glibc لربط دالة RSA_public_decrypt من ssh. يدافع الكاتب عن بناء البرامج من مصادر موثوقة واستخدام إمكانية إعادة إنتاج عملية البناء لتعزيز أمان سلسلة توريد البرامج، مثل مقارنة إصدارات GitHub مع ملفات tarball التي يوفرها المدير والتحقق من الاتساق الثنائي بين مصادر البناء.