Zranitelnost v nástroji xz pro operační systém Linux otevírající zadní vrátka (backdoor) odhalil 29. března 2024 počítačový vývojář Andres Freund. Analýza ukázala, že zranitelnost umožňující útočníkovi vzdálené spuštění kódu byla do tohoto otevřeného softwaru zanesena úmyslně přispěvatelem vystupujícím pod jménem Jia Tan v rámci tříletého snažení s využitím sociálního inženýrství, loutkaření a důmyslných krycích technik. V době odhalení nebyly ještě postižené verze 5.6.0 a 5.6.1, vydané v únoru 2024, široce rozšířeny v produkčních systémech, ale byly přítomny v testovacích verzích hlavních distribucí. Zranitelnost, která měla potenciál infikovat miliony počítačů na celém světě, obdržela označení CVE-2024-3094 a nejvyšší možné hodnocení nebezpečnosti 10,0. Odborníci se domnívají, že jde o dílo státem sponzorované hackerské skupiny, nejspíše ruské.

Nástroj XZ Utils slouží ke kompresi a dekompresi dat s využitím formátů xz a lzma. Vývoji tohoto nástroje, přítomného v mnoha linuxových distribucích (včetně Fedory, Slackware, Ubuntu a Debianu), se od roku 2009 věnovala na dobrovolnickém základě malá skupina vývojářů v rámci projektu Tukaani, správcem repozitáře na GitHubu byl Lasse Collin. Do jeho přízně se od roku 2021 postupně vetřel přispěvatel pod přezdívkou JiaT75 a jménem Jia Tan (jde nejspíše o smyšlené jméno) a prostřednictvím dalších pravděpodobně loutkových účtů začal vykonávat tlak na rychlejší přijímání jím navrhovaných úprav kódu a získal pro sebe v projektu větší práva.

Škodlivý binární kód ukryl autor do dvou komprimovaných souborů určených k automatickému testování nástroje, z nichž byl automatickou konfigurační rutinou při výrobě balíčku v GitHubu vytažen a zahrnut do knihovny liblzma. Tuto knihovnu na některých systémech využívá (prostřednictvím démona systemd) software OpenSSH, který slouží k zabezpečenému vzdálenému připojování se uživatelů k serveru. Díky této závislosti mohl škodlivý kód ovlivnit proces přihlašování a umožnit útočníkovi vybavenému konkrétním soukromým klíčem získat stejná přístupová práva k systému jako jeho oprávněný správce.

• KASÍK, Pavel. Německý programátor možná překazil největší kyberútok v historii. Seznam Zprávy [online]. 2024-04-11 [cit. 2024-04-12]. Dostupné online. 
• KRČMÁŘ, Petr. Sofistikovaná sabotáž XZ zabrala roky, odhalena byla šťastnou náhodou. Root.cz [online]. Internet Info, s.r.o., 2024-03-30 [cit. 2024-04-12]. Dostupné online. 
• GREENBERG, Andy. The Mystery of ‘Jia Tan,’ the XZ Backdoor Mastermind. Wired. Dostupné online [cit. 2024-04-11]. ISSN 1059-1028. (anglicky) 
• MAZUROV, Nikita. The Other Players Who Helped (Almost) Make the World’s Biggest Backdoor Hack. The Intercept [online]. 2024-04-03 [cit. 2024-04-11]. Dostupné online. (anglicky) 

• Oficiální informační webová stránka
• Původní zpráva o odhalení zadních vrátek od Andrese Freunda