نجا مجتمع لينكس من كارثة أمنية بعد أن اكتشف مهندس برمجيات بطريق الخطأ بابًا خلفيًا كان على وشك إضافته إلى نظام التشغيل.
ولاحظ أندريس فرويند، مهندس برمجيات مايكروسوفت، الباب الخلفي في XZ Utils، وهي مجموعة مفتوحة المصدر من أدوات ضغط البيانات المستخدمة على نطاق واسع عبر أنظمة التشغيل لينكس ويونكس.
وقال فرويند إنه اكتشف الباب الخلفي بالصدفة أثناء قياس أداء تثبيت توزيعة ديبيان المستندة إلى لينكس.
وأثناء الاختبارات، أدرك فرويند أن XZ Utils كانت تؤدي إلى استهلاك عالٍ لوحدة المعالجة المركزية من خلال عمليات SSH، وهو بروتوكول الأمان لتسجيل الدخول إلى خادم بعيد.
وقد دفعه ذلك إلى إدراك أن أحد المكونات الموجودة في XZ Utils يمكنه حقن تعليمات برمجية غير مصرح بها في تثبيت لينكس للتجسس على حاسوب المستخدم وتنفيذ تعليمات برمجية ضارة إضافية.
ردًا على ذلك، أصدر مزودو نظام التشغيل لينكس ريد هات وديبيان تحذيرات أمنية تحذر المستخدمين من التهديد.
ولم تتضمن الإصدارات المستقرة من ريد هات وديبيان مكونات XZ Utils الضارة، وشق الباب الخلفي طريقه إلى الإصدار التجريبي من ريد هات فيدورا وفيدورا روهايد، إلى جانب الإصدارات التجريبية لتوزيعة ديبيان.
وقال ريد هات: “توجد هذه التعليمات البرمجية على وجه التحديد في الإصدارين 5.6.0 و 5.6.1 من مكتبات XZ”.
وفي الوقت نفسه، تحث السلطات السيبرانية الأمريكية المستخدمين المتأثرين على الرجوع إلى إصدار سابق من XZ Utils، مثل XZ Utils 5.4.6 والبحث عن أي نشاط ضار.
وتثير الأخبار مخاوف متجددة بخصوص الحاجة إلى تأمين البرمجيات المفتوحة المصدر، التي غالبًا ما يحافظ عليها المساهمون المتطوعون.
ويرتبط الباب الخلفي في هذه الحالة بمستخدم غامض يدعى Jia Tan أو JiaT75 أرسل التغييرات الضارة إلى XZ Utils.
ويبدو أن Jia Tan أمضى السنوات الثلاث الماضية في بناء مصداقيته ليصبح مساهمًا موثوقًا في XZ Utils قبل إضافة التعليمات البرمجية الضارة.