:format(webp)/cdn.vox-cdn.com/uploads/chorus_asset/file/25543343/image__15_.png?w=150&resize=150,150&ssl=1 "Captura de pantalla de una tabla del sitio web unicode.org, que muestra una lista de emojis bajo la categoría de \"juegos\". La tabla tiene varias columnas con los encabezados: \"№\" (número), \"Code\" (código), \"Browser\", \"Sample\", \"GMail\", \"SB\", \"DCM\", \"KDDI\" y \"CLDR Short Name\" (nombre corto CLDR)")
El backdoor descubierto en XZ Utils, una herramienta de compresión de archivos utilizada en sistemas Linux, fue introducido en el código en 2015 y pasó desapercibido durante varios años. Este backdoor malicioso podría haber permitido a los atacantes ejecutar código remoto de forma no autorizada en sistemas afectados. Afortunadamente, los expertos en seguridad descubrieron este backdoor a tiempo y se encargaron de remediar la situación antes de que se convirtiera en una amenaza real para los usuarios de Linux. Esta situación destaca la importancia de la seguridad en el desarrollo de software de código abierto y la constante vigilancia de posibles vulnerabilidades para prevenir incidentes de esta magnitud.
El incidente comenzó cuando Andrés Freund, ingeniero de software principal en Microsoft, investigaba por qué el código de seguridad remota SSH en la beta de Linux Debian presentaba lentitud. Su curiosidad lo llevó a descubrir un problema alarmante: Jia Tan, programador principal y mantenedor de la biblioteca de compresión de datos xz, había introducido una puerta trasera en el código. Este acto malintencionado tenía como objetivo permitir a los atacantes tomar control de los sistemas Linux.
A pesar de que Linux es considerado una de las mejores opciones para aumentar la seguridad de los ordenadores de escritorio, la inserción de código malicioso en software se ha vuelto un fenómeno preocupantemente común. Repositorios de código abierto muy utilizados, como el gestor de paquetes de JavaScript npm y el repositorio de software de Python, el Python Package Index (PyPI), han sido señalados por albergar malware de criptominería y hacking.
En este panorama, surgen programas de malware de código abierto como SapphireStealer, diseñados para robar identificaciones de usuario, contraseñas y otros secretos. Aunque se ha escrito mucho código malicioso en Linux y sus utilidades relacionadas, nunca antes se había logrado esconder malware dentro de este sistema —hasta ahora.
Sin embargo, es crucial señalar que el código corrupto de xz nunca llegó a distribuciones de Linux en producción. Solo las distribuciones beta en la vanguardia, como Fedora, Debian, openSUSE y Ubuntu, estaban en riesgo. Por tanto, la mayoría de los usuarios pueden estar tranquilos.
Pero, sin lugar a dudas, Linux esquivó una bala. De haberse propagado este malware a los sistemas Linux utilizados diariamente, las consecuencias habrían sido desastrosas.
Irónicamente, el fracaso de este ataque resalta una de las fortalezas del código abierto. Mark Atwood, ingeniero principal de la oficina de programas de código abierto de Amazon, destacó que el ataque falló precisamente porque era código abierto. En el caso de software no abierto, un ataque similar podría pasar desapercibido durante años.
La transparencia del código abierto permitió a Freund y otros investigadores entender y revelar rápidamente cómo se realizó el ataque contra xz. Esto contrasta con incidentes en software cerrado, cuyos detalles a menudo permanecen oscuros.
Aunque aún se especula sobre quién estuvo detrás del ataque y sus motivaciones, es posible que la codicia, impulsada por el valor actual de Bitcoin, haya sido un factor. El atacante, bajo el nombre de Jia Tan, tomó el control del proyecto xz con la intención de insertar rápidamente el programa infectado con la puerta trasera en las distribuciones de Linux.
Gracias a las investigaciones de Freund, Lasse Collin, el mantenedor original de XZ, ha retomado el control del proyecto y está limpiando el código.
La preocupación de que xz sea solo la punta del iceberg en cuanto a malware oculto en Linux persiste. Sin embargo, como observa Eric S. Raymond, cofundador del movimiento de código abierto, no hay evidencia concreta de que esto sea así, y suponerlo no ofrece una estrategia clara a seguir.
