
Una nuova scoperta dei ricercatori del Phylum fa luce su un grave problema di sicurezza che affligge la comunità open source. A quanto pare, il pacchetto liblzma-sys, ampiamente utilizzato dagli sviluppatori Rust. E’ stato divulgato con file di test dannosi relativi alla backdoor nello strumento di compressione dati XZ Utils ampiamente trattata recentemente.
Con oltre 21.000 download, liblzma-sys offre agli sviluppatori Rust l’accesso all’implementazione liblzma, una libreria che fa parte di XZ Utils. La versione 0.3.2 di questo pacchetto era interessata.
Secondo la pagina del numero di GitHub aperta il 9 aprile, “l’attuale distribuzione (v0.3.2) su Crates.io contiene file di test per XZ che includono una backdoor“. Stiamo parlando dei file “tests/files/bad-3-corrupt_lzma2.xz” e “tests/files/good-large_compressed.lzma”.
A seguito di una divulgazione responsabile, questi file dannosi sono stati rimossi da liblzma-sys nella versione 0.3.3, rilasciata il 10 aprile. Allo stesso tempo, la versione precedente del pacchetto è stata completamente rimossa dal registro di Crates.io.
Come hanno spiegato i ricercatori di Snyk, sebbene i file di test dannosi siano stati caricati nel repository principale liblzma-sys, a causa della mancanza di istruzioni di compilazione dannose, non sono mai stati richiamati o eseguiti.
La backdoor in XZ Utils è stata scoperta per la prima volta alla fine di marzo di quest’anno. Andres Freund, ingegnere di Microsoft, ha identificato commit dannosi nell’utilità della riga di comando XZ.
Queste “manomissioni” interessavano le versioni 5.6.0 e 5.6.1 rilasciate a febbraio e marzo. XZ Utils è un pacchetto popolare integrato in molte distribuzioni Linux.
Secondo una ricerca di SentinelOne e Kaspersky Lab, le modifiche al codice sorgente miravano a bypassare gli strumenti di autenticazione SSH per l’esecuzione di codice in modalità remota. Questo potrebbe consentire agli aggressori di assumere il controllo del sistema.
Abbiamo riportato che dietro l’introduzione della backdoor in XZ Utils c’era un certo Jia Tang. L’identità potrebbe essere stata inventata e utilizzata da uno dei gruppi di hacker sponsorizzati dalla Cina o da qualsiasi altro paese con i propri interessi.
La scoperta di file dannosi in liblzma-sys è stato uno sviluppo importante che ha impedito conseguenze gravi sia per gli sviluppatori che per gli utenti. Tuttavia, questo incidente ha dimostrato ancora una volta la vulnerabilità dei popolari progetti open source. Oltre ad attacchi mirati da parte di aggressori che cercano di introdurre codice dannoso nella catena di fornitura del software.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Cyber ItaliaIl 29 gennaio 2026, sul forum BreachForums, l’utente p0ppin ha pubblicato un annuncio di vendita relativo a un presunto accesso amministrativo non autorizzato ai sistemi interni di una “Italian Car Company”. Come spesso accade in questo tipo di annunci, nessun riferimento…
Cyber NewsIvanti ha rilasciato una serie di aggiornamenti critici per arginare due vulnerabilità di sicurezza che hanno colpito Ivanti Endpoint Manager Mobile (EPMM). Si tratta di falle sfruttate attivamente in attacchi zero-day, una criticità tale da…
CulturaAlla fine degli anni 90, Internet era ancora piccolo, lento e per pochi. In quel periodo, essere “smanettoni” significava avere una conoscenza tecnica che sembrava quasi magia agli occhi degli altri. Non era raro che…
CulturaCerte volte, pensandoci bene, uno si chiede come facciamo a dare per scontato il mondo che ci circonda. Tipo, clicchiamo, scorriamo, digitiamo, e tutto sembra così naturale, quasi fosse sempre stato qui. E invece no,…
InnovazioneL’intelligenza artificiale è entrata nel lavoro senza bussare. Non come una rivoluzione urlata, ma come una presenza costante, quasi banale a forza di ripetersi. Ha cambiato il modo in cui le persone lavorano, sì, ma…