真っ黒じゃん……。
oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise https://www.openwall.com/lists/oss-security/2024/03/29/4
ポイントは、マルウェア自体は未使用? のテストデータバイナリとして含まれていて、ビルドシステムのなかでそのコードをアンパックして成果物に組み込んでるので、直接的にはソースリポジトリに出てこないために、多分レビュー対象になってないか見逃されたかしたのかな。
> over the last weeks
一番怖いところ。