El mes pasado, un desarrollador de Microsoft sorprendió a todos al revelar que habían introducido secretamente backdoor en la librería XZ Utils, una herramienta de compresión de datos de código abierto utilizada en la mayoría de las instalaciones de Linux y sistemas similares a Unix.
¿Que es la librería XZ utils?
La creación de .xz durante un periodo de tres años (2005-2008) supuso una importante innovación en el mundo de la compresión de archivos. La idea original provino de Lasse Collin, un desarrollador finlandés y otros ingenieros, quienes desarrollaron esta utilidad utilizando el algoritmo de compresión LZMA. Este algoritmo, que se basa en la combinación de los algoritmos de compresión Lempel-Ziv-Markov y el algoritmo de rango de Burrows-Wheeler, demostró ser altamente efectivo en la reducción del tamaño de los archivos sin comprometer la calidad de los mismos.
Lea también: Un ingeniero descubre una puerta trasera en Linux
La herramienta xz se volvió ampliamente utilizada en diversos ámbitos debido a su eficiencia y alta calidad de compresión, convirtiéndose en una opción popular para empaquetar archivos de instalación en distribuciones de Linux y en otras aplicaciones donde el tamaño del archivo es crítico.
Casi dos décadas después, en octubre de 2021, Jia Tan envió un parche aparentemente inofensivo a la lista de correo xz-devel, haciendo su primera aparición en el proyecto y destacando la continua mejora y mantenimiento de esta herramienta.
Jia Tan llega a la escena, con un elenco de apoyo
En octubre de 2021, Jia Tan hizo su primera aparición enviando un parche aparentemente inofensivo a la lista de correo xz-devel. A lo largo de los meses siguientes, continuó enviando parches aparentemente legítimos.
En junio de 2022, las presiones aumentaron en torno a la implementación de los parches de Jia Tan en el repositorio de xz, lo que llevó a Lasse Collin a fusionar varios de sus commits. Esto marcó el comienzo de una mayor colaboración entre Collin y Tan.
Jia Tan se convierte en el mantenedor
Hacia finales de 2022, Jia Tan comenzó a asumir un papel más prominente en el proyecto, proporcionando resúmenes de lanzamiento y fusionando sus propios commits directamente en el repositorio de xz. Esto culminó con Lasse Collin cambiando el correo de informe de errores para incluir a ambos como mantenedores del proyecto.
Comienza el ataque
A partir de febrero de 2024, Jia Tan comenzó a introducir código malicioso en el repositorio de xz bajo la apariencia de parches legítimos. Esto incluyó la fusión de una puerta trasera oculta dentro de archivos de prueba binarios.
Detección del ataque
La detección del ataque ocurrió a fines de marzo de 2024, cuando Andrés Freund descubrió la puerta trasera y notificó a las autoridades pertinentes. Esto llevó a la reversión de las versiones comprometidas de xz en varias distribuciones y a medidas para evitar la propagación del código malicioso.
Este incidente marcó un momento crucial en la seguridad de la cadena de suministro de software de código abierto, destacando la necesidad de una mayor vigilancia y medidas de seguridad en el desarrollo y mantenimiento de proyectos de este tipo.
La información es libre, pero investigar en profundidad, analizar datos y escribir en un lenguaje sencillo toma tiempo, apoya a nuestros editores a través de:
