Script shell do ataque ao XZ

Script shell do ataque ao xz

• Andres Freund revelou a existência do ataque ao xz em 29 de março de 2024.
• O ataque é dividido em duas partes: um script shell e um arquivo objeto.
• O script shell adiciona o arquivo objeto à compilação durante o processo de make.
• O arquivo objeto malicioso e o código shell foram adicionados comprimidos e criptografados, disfarçados como "entradas de teste".

Estrutura

• O xz-utils usa GNU autoconf para determinar como compilar de acordo com o sistema.
• O invasor adicionou uma biblioteca de suporte inesperada à distribuição tarball.
• Essa biblioteca de suporte contém código malicioso.

Revisando a estrutura

• A biblioteca de suporte adicionada pelo invasor procura determinados padrões e configura o arquivo correspondente.
• Esse script localiza o arquivo malicioso e o executa para injetar código shell.

Execução do script shell

• O script shell malicioso só é executado no ambiente necessário após passar por várias etapas de verificação.
• O script adiciona várias linhas ao Makefile para inserir código malicioso no processo de compilação.

Opinião do GN⁺

• Esse ataque expõe vulnerabilidades de segurança em software de código aberto, e os desenvolvedores devem reconhecer a importância da revisão de código e das auditorias de segurança.
• O método de ataque é um exemplo de ataque à cadeia de suprimentos de software, e são necessárias medidas para prevenir esse tipo de ataque.
• Este artigo pode servir de alerta aos desenvolvedores ao mostrar métodos de ataque que exploram a complexidade de scripts shell e sistemas de build.
• De um ponto de vista crítico, esse tipo de ataque pode levantar dúvidas sobre a confiabilidade de projetos de código aberto.
• Com base no conhecimento da área, este artigo enfatiza a importância das verificações de segurança no processo de desenvolvimento e distribuição de software.