Um código malicioso foi inserido na biblioteca de código aberto XZ Utils, um pacote amplamente utilizado em grandes distribuições Linux, permitindo a execução remota de código.

A comprometimento da cadeia de suprimentos, rastreado como CVE-2024-3094, foi descoberto quando Andres Freund, engenheiro da Microsoft e desenvolvedor do PostgreSQL, alertou sobre um backdoor na utilidade de compressão de dados que dá aos atacantes remotos uma maneira de contornar a autenticação do shell seguro e obter acesso completo a um sistema afetado.

XZ Utils é uma ferramenta de linha de comando para comprimir e descomprimir dados em Linux e outros sistemas operacionais semelhantes a Unix. O código malicioso foi introduzido deliberadamente por um dos mantenedores do projeto, Jia Tan (também conhecido como Jia Cheong Tan ou JiaT75), em um ataque meticuloso que se estende por vários anos.

A conta do usuário do GitHub foi criada em 2021, mas a identidade do(s) ator(es) ainda é desconhecida. O ator de ameaça começou a contribuir para o projeto XZ quase dois anos atrás, construindo credibilidade até receber responsabilidades de mantenedor.

Contas falsas, como Jigar Kumar e Dennis Ens, foram usadas para enviar solicitações de recursos e relatar uma variedade de problemas no software, forçando o mantenedor original, Lasse Collin do Projeto Tukaani, a adicionar um novo co-mantenedor ao repositório.