Ein Backdoor in SSH wurde durch die Bibliotheken liblzma 5.6.0 und 5.6.1 in Debian und Fedora eingebaut
Es erlaubt dem Inhaber eines speziellen privaten Schlüssels Zugang zu jedem SSH-Server mit root-Rechten
Dieser Hack erforderte jahrelanges Social Engineering und der Payload wurde sehr ungewöhnlich versteckt
Die Entdeckung der Backdoor verdanken wir Andres Freund

Timeline

2005 - 2008

Lasse Collin entwickelt mit Hilfe einiger anderer das .xz-Dateiformat welches den LZMA-Algorithmus für Komprierung verwendet
Aufgrund der Effizienz der Komprimierung wächst die Verwendung der Software

JiaT75 (Jia Tan) erstellt seinen GitHub Account
Dieser Account ist verantwortlich für den Einbau der Backdoor
Bisher ist unbekannt ob es sich dabei um eine einzelne Person oder einer Gruppe handelt

Jia Tan erstellt einen harmlosen Patch
Eine Fake Persona namens Jigar Kumar drängt Lasse Collin diesen Patch aufzunehmen
Die Idee Jia Tan zum Co-Maintainer zu machen wird Lasse Collin eingepflanzt

Am 7. Januar 2023 scheint Jia Tan das volle Vertrauen erlangt zu haben, da er Patches in liblzma mergen darf
Die Testinfrastruktur für den kommenden Backdoor wird in den Source Code mit aufgenommen

am 9. März 2024 schreibt Jia Tan Code für anscheinend reguläre Softwaretests
Diese enthalten jedoch tief versteckt ein Backdoor für SSH-Server, welche liblzma als Abhängigkeit haben

Ein Microsoft Entwickler namens Andres Freund entdeckt die Backdoor aufgrund eines komischen CPU-Spikes bei neueren SSH-Server Versionen
Diese plötzliche Beanspruchung an Ressourcen führt zu einer 500ms längeren Login-Dauer, was ihm verdächtig vorkam
Er entdeckt die Backdoor im Source Code und macht es öffentlich bekannt
Security Researcher versuchen die Funktionsweise und Ausmaße der Backdoor zu verstehen: https://gynvael.coldwind.pl/?lang=en&id=782