El descubrimiento reciente de archivos de prueba asociados con la puerta trasera de XZ Utils en la popular librería de Rust liblzma-sys ha generado preocupación. Esta librería, descargada más de 21,000 veces hasta la fecha, proporciona enlaces a la implementación liblzma, parte del software de compresión XZ Utils, para desarrolladores de Rust. La versión afectada es la 0.3.2.

Según Phylum, los archivos de prueba maliciosos fueron incluidos en la distribución actual en Crates.io, pero no están presentes en las etiquetas en GitHub. Después de una divulgación responsable, se eliminaron los archivos en cuestión de la versión 0.3.3 de liblzma-sys, lanzada el 10 de abril. Se retiró la versión anterior de la librería del registro. La intrusión se detectó en marzo, cuando se identificaron confirmaciones maliciosas en XZ Utils, realizadas por un usuario de GitHub suspendido, JiaT75, permitiendo la ejecución remota de código. Estos cambios troyanizados, realizados entre las versiones 5.6.0 y 5.6.1, fueron descubiertos por el ingeniero de Microsoft, Andrés Freund.

El objetivo principal de la puerta trasera introducida en liblzma es manipular el Daemon de Shell Seguro (sshd) y monitorear comandos SSH. Aunque se evitó un compromiso generalizado del ecosistema de Linux, el incidente destaca los riesgos de los ataques al suministro de software. Los investigadores señalan una posible campaña de ingeniería social coordinada detrás del ataque, lo que sugiere la necesidad de mayor vigilancia en la comunidad de código abierto.