Lionel Debroux (./2034) :
Je n'ai pas encore vu passer d'analyse complète du code obfuscated qui est injecté.
On commence à en savoir un peu plus sur le sujet :
Filippo Valsorda (@filippo.abyssdomain.expert)Bluesky SocialI'm watching some folks reverse engineer the xz backdoor, sharing some *preliminary* analysis with permission.
The hooked RSA_public_decrypt verifies a signature on the server's host key by a fixed Ed448 key, and then passes a payload to system().
It's RCE, not auth bypass, and gated/unreplayable.
[contains quote post or other embedded content] Ça ne fait que confirmer un peu plus qu'il y a vraisemblablement une grosse structure derrière (grande organisation criminelle, ou agence d'état).
(et personnellement, avant cette histoire, je ne savais pas que certaines distribs Linux étaient créées à partir de tarballs dont le contenu diffère du repo Git. Même en mettant de côté les cas comme celui-là, ça reste une mauvaise pratique à mes yeux.)