YouTube-kontot Veritasium har släppt en ny och en fascinerande dokumentär som dyker djupt ner i den dramatiska historien bakom den så kallade XZ Utils backdoor. En dold bakdörr i en kritisk komponent i Linux-världen som nästan hade kunnat leda till en av de allvarligaste cyberattackerna någonsin.
I videon får vi en visuell och pedagogisk genomgång av hur bakdörren upptäcktes, vad den innebar och varför det här var en väckarklocka för öppna källkodsprojekt. Attacken roterade kring det populära paketet XZ Utils, som används för kompression och ingår i de flesta Linuxdistributioner. En illasinnad aktör lyckades under flera år bygga upp förtroende inom projektet och smyga in skadlig kod i versionerna 5.6.0 och 5.6.1. En kod som i vissa konfigurationer kunde ha låtit obehöriga få root-åtkomst via SSH på drabbade system.
Det som gör historien särskilt intressant är hur den upptäcktes. Microsoft-utvecklaren Andres Freund noterade märkliga prestandaproblem i SSH-inloggningar och började gräva i koden, vilket ledde till avslöjandet av bakdörren innan den hann nå stabila Linux-utgåvor.
