他潜伏三年想插它后门，最终还是输给了另一个他

上篇文章说到👇，微软公司的开发人员 Andres Freund 在调查 SSH 性能问题时，发现了 xz 软件包中一个涉及混淆恶意代码的供应链攻击。进一步溯源发现 SSH 使用的上游 liblzma 库被植入了后门代码，恶意代码可能允许攻击者通过后门版本的 SSH 非授权获取系统的访问权限。恶意代码修改了 liblzma 代码中的函数，该代码是 XZ Utils 软件包的一部分，链接到 XZ 库的任何软件都可以使用此修改后的代码，并允许拦截和修改与该库一起使用的数据。知名压缩软件 xz 被植入后门，黑客究竟是如何做到的？❝本文就来追根溯源，看看这位老兄究竟是如何密谋一步一步骗取 xz 项目作者信任的。在互联网的世界里，有这样一群默默无闻的英雄，他们凭借着对技术的热爱和对开源事业的执着，为我们日常使用的软件默默贡献着自己的力量。这些人就是开源软件的维护者。 ………………………………