真っ黒じゃん……。
oss-security - backdoor in upstream xz/liblzma leading to ssh server compromise https://www.openwall.com/lists/oss-security/2024/03/29/4
xzのビルドシステムに難読化されたマルウェアが仕込まれてて、改竄されたliblzmaをsshdがリンクしてる場合、実行時にopensshの復号関数を動的フックして認証バイパスかなにかのバックドア動作を行う、って感じかな。
この動的フックの動作にわずかとはいえ時間がかかってたので、ベンチマーク用のクリーンな環境での差異として解析対象になったことで発見されたって経緯かな。
フォロー
ポイントは、マルウェア自体は未使用? のテストデータバイナリとして含まれていて、ビルドシステムのなかでそのコードをアンパックして成果物に組み込んでるので、直接的にはソースリポジトリに出てこないために、多分レビュー対象になってないか見逃されたかしたのかな。
実行時アンチマルウェア製品はしばしば不確実性でバカにされるけど、根源的には実行時バイナリを対象にしてい点でこういった「開発者の目」を潜り抜けるタイプの攻撃も対象になる点では無意味ではないし、やはり防御は多層であるべきだなあと。
Mk.1 Eyeballは無敵でも万能でもないんだよなあ、大昔から言われてる話ではあるけど(教訓
> over the last weeks
一番怖いところ。