GitHub 解锁 XZ Utils 存储库，但谜团依然存在

今年在开源社区中出现了一起严重的事件，即对 Linux XZ Utils 软件包进行恶意代码植入的长时间计划。这次复杂的攻击旨在通过SSH实现远程未经授权访问，可能影响到广泛的 Linux 发行版。不幸的是，这起事件给整个生态系统蒙上了一层阴影，成为一个将被讨论多年的时刻。

因此，GitHub 在发现问题后的 24 小时内暂时禁止了对 XZ Utils 存储库的访问。然而，现在已经恢复了访问权限，该存储库再次向寻求提交代码的开发人员开放。

此外，涉及其中的主要开发人员之一 Lasse Collin 在最近的封禁调查结束后已经解封。但更引人关注的是被怀疑故意植入后门的 JiaT75 账户的状态。

任何人都可以看到，该账户仍然包含在 GitHub 上 XZ Utils 的贡献者列表中。这个人花了两年多的时间，通过（VP）连接，以显著的耐心和勤奋为贡献代码，他的目的是在最后发动攻击前获得信任。

JiaT75 的 GitHub 账户

那么，JiaT75 到底是谁呢？这个问题价值连城，就连世界顶尖的网络安全专家也无法解答。普遍的共识是，JiaT75很可能是一个国家支持的黑客团队的幌子，一个隐藏了一群人真实身份的虚幻形象。

根据 WIRED 的资深撰稿人 Andy Greenberg 在X上发布的信息：

“我们深入探究了‘JiaT75’的神秘身份，这位礼貌、尽责的志愿者程序员在 XZ Utils 中插入了一个令人惊讶的复杂后门，很可能是一个位于东欧时区的国家支持的黑客组织的化身。”

经过多年的准备，这个团队差点完成了可能是 Linux 历史上最重大的突破，幸好得益于微软软件工程师 Andres Freund 的干预，这场突破并未发生。

尽管面临着挑战，但总会有一线希望。首先，对开源生态系统贡献的代码将被更加谨慎地处理。其次，无论是开玩笑还是认真，从现在开始，通过已建立的（VP）连接为项目贡献代码并与同事沟通都将不可避免地引发警报。

与此同时，GitHub 的 XZ Utils 存储库和其主要开发人员 Lasse Collin 的账户已经解锁，允许项目工作继续进行。

相关：Linux 安全漏洞警示：XZ Utils 版本 5.6.0 和 5.6.1 存在严重后门风险 https://www.linuxmi.com/linux-xz-utils-5-6-0-5-6-1-have-been-backdoored.html

The post GitHub 解锁 XZ Utils 存储库，但谜团依然存在 first appeared on Linux迷.