C'est mauvais, en effet, même si heureusement, les versions vulnérables sont récentes, et n'ont pas encore atteint la plupart des utilisateurs. Debian unstable a été vulnérable pendant 1 mois environ.
Je n'ai pas encore vu passer d'analyse complète du code obfuscated qui est injecté.