Sérieux, oui. Même si c'est seulement sur les (certaines ?) distros rolling release dont les utilisateurs les ont mises à jour "récemment" (avec une version 5.6.0 ou 5.6.1 des sources xz, et donc des packages binaires qui en découlent, pour la plupart des distros), ça semble très grave: pre-auth RCE, d'après qui relaie le message d'un bon chercheur en sécurité, que je connaissais plutôt pour des aspects cryptographie, et aussi pour être une bonne plume, mais ses compétences peuvent évidemment être plus larges.

Tout ça à cause d'un import indirect de la lib XZ pour implémenter la notification systemd, d'après d'autres messages du même thread.

Zerosquare: c'est en effet possible qu'il y ait eu d'autres telles compromissions, mais il faut qu'elles soient encore mieux planquées que celle-là - or, la découverte de caca de ce calibre est rare, ce qui peut vouloir dire qu'on le détecte mal, mais probablement plutôt qu'il est rare
Et le fait que maintenant, les choses se déroulent en public, est un avantage par rapport aux logiciels closed-source, qui ne sont pas forcément exempts de vulnérabilités supply chain non plus.
Sur certaines bases de code, par exemple le kernel Linux, ça n'est même pas la peine de se faire chier à introduire délibérément une backdoor (et de risquer de se faire pincer a priori ou a posteriori), alors qu'il y a suffisamment de vulnérabilités par ailleurs, et que les défenses anti-exploitation du kernel mainline restent très limitées.