linux
这是一场精心设计、隐藏了两年半的阴谋。我试着用通俗易懂的方法给大家梳理一下。贾坦大概于2021年底注册了GitHub(全球最大的开源平台),2022年起开始为xz项目贡献代码。xz是
linux系统中最常用的压缩工具,几乎每个
linux发行版都包含它。他一直勤勉地修改代码、修复漏洞,工作十分认真负责。
2023年初,Jia Tan在项目中工作了一段时间后,赢得了所有者Lasse Collin的信任,获得了自主批准代码的权限。在接下来的一年里,Jia Tan不断提交代码,伪装成一名尽职的项目维护者。
今年2月,Jia Tan开始实施计划,向项目添加了几个测试文件。
计算机
他声称,测试文件包含随机数据和无法解压的损坏数据。为隐藏真实意图,多数测试数据看似正常且无害,以避免引起怀疑。接着,Jia Tan在编译脚本里添加了个人代码。要理解编译脚本的含义,需掌握
计算机编程的一些基本概念。贾坦在一些系统安装包的编译脚本中植入了特殊指令,指示编译器对特定函数不再从源代码中提取代码进行编译,而是直接使用他上传的测试文件中预编译好的机器码。以此方式,成功实现了渗透。此手法之隐蔽在于:Jia Tan多年潜伏,借助极为隐蔽的方式完成注入,几乎就要成功。实际上,该版本发布已逾一个月,从5.6.0升至5.6.1,均无人察觉异常。问题被Andres Freund发现。他在测试时注意到sshd(远程登录命令)的运行时间比平时多了0.5秒,这一异常成为了关键线索。Andres 使用调试器检查时,发现无法定位对应的源代码。通常,编译过程中会保留源代码与编译后机器码的关联,以便调试时查看问题所在机器码对应的源代码。但由于 Jia Tan 注入的是已编译好的机器码,缺乏源代码映射,因此无法找到相关源文件。安德雷斯不断追查,最终发现xz被恶意注入。如果贾坦注入的机械码更精妙,运行效率更高,这个后门至今仍未被发现,甚至可能永远无人察觉。之前有人跟我说,开源系统里可能存在像NSA这样的组织植入的后门。我原本不太相信,但现在觉得这很可能属实。毕竟,专业机构植入的东西,一般用户根本无法察觉其运行痕迹。
