Endlich mal wieder Lust auf Podcast.

Heute eine interessante Folge aus dem letzten Jahr über Menschen, die Open Source entwickeln. Mit Schwerpunkt auf log4j, aber eigentlich geht es vor allem um die Last auf Menschen, die als Hobby weit verbreitete Projekte pflegen und dabei weit seltener mit Dank als vielmehr mit Verantwortung und Ansprüchen konfrontiert sind.

https://www.br.de/mediathek/podcast/wild-wild-web/das-wichtigste-hobby-der-welt/2108090

#OpenSource #log4j #podcast #xzutils

RE: https://en.osm.town/@seav/112217310004579603

#Veritasium recently published a very comprehensive and educational video about the XZ Utils backdoor incident two years ago: https://youtu.be/aoag03mSuXQ

More info about the backdoor: https://en.wikipedia.org/wiki/XZ_Utils_backdoor

The toot that exposed the backdoor to the world: https://mastodon.social/@AndresFreundTec/112180083704606941

#XZUtils #Linux #OpenSource #backdoors #exploits #infosec

Upstream Attacks: The Silent Poison in Our Software Supply Chain
Imagine hackers don’t break into your house — they poison the water supply that serves millions of homes. That’s what “upstream attacks” do in cybersecurity.
Instead of attacking companies one by one, adversaries compromise the source: open-source repositories, package managers, build servers, or maintainer accounts. From there, malicious code spreads automatically through official, signed updates that everyone trusts and installs without question.
2025 was a wake-up call. Supply chain attacks doubled, with losses in the tens of billions. The massive npm incident in September (Shai-Hulud worm) hijacked hundreds of popular packages — billions of weekly downloads turned into vectors for stealing crypto and credentials.
We’ve seen it before: SolarWinds (2020), XZ Utils (2024 near-miss), and now it’s routine.
In 2026, this isn’t a fringe threat — it’s the new normal.
To stay safe:

Demand SBOMs (know exactly what’s in your software)
Verify signatures and provenance
Use tools like Sigstore, SLSA, Dependabot
Treat every dependency as untrusted until proven otherwise

One compromised upstream component can silently own your entire stack.
Time to secure the river before it reaches us.
#CyberSecurity #SupplyChainAttack #UpstreamAttack #OpenSource #InfoSec #DevSecOps #NPM #XZUtils #SolarWinds #CyberThreats

@hopland @Ember well, it could just #backdoor shit.

• Always think how you can #weaponize something, and then realize you are at best 1% as clever as state-sponsored hackers that take years to plant in #backdoors...

Or does everyone here now have #Zoomer-Level Attention Span and can't remember the shitshow with #xzutils ?

• With "#AI" / "#LLM", this becomes trivial as the code will be unmaintainable mess!

If this was some random tool someone built, this would not be a problem, but we're talking about a password manager - literally the digital "keymaker" or key-keeper to peoples' digital lives...

[Перевод] Можно ли было обнаружить бэкдор XZ при более продуманной работе с пакетами в Git и Debian?

Обнаружение бэкдора в XZ Utils весной 2024 года поразило опенсорс-сообщество и подняло серьёзные вопросы о безопасности цепочки поставок ПО. В этом посте мы изучим, могло ли улучшение практик работы с пакетами Debian помочь в выявлении этой угрозы, приведём руководство по аудиту пакетов и предложим улучшения на будущее. Бэкдор XZ в версиях 5.6.0/5.6.1 быстро попал во многие крупные дистрибутивы Linux наподобие Debian и Fedora, но, к счастью, не добрался до многих реальных пользователей, потому что благодаря героическому усердию Андреса Фройнда релизы с бэкдором были быстро удалены. Нам крайне повезло, что мы выявили регрессию производительности SSH в полсекунды, уделили время её трассировке, обнаружили зловредный код в загружаемой SSH библиотеке XZ и быстро сообщили о нём различным командам безопасников для принятия быстрых координированных мер защиты. Этот эпизод заставил разработчиков ПО задаться следующими вопросами: • Почему ни один из упаковщиков дистрибутивов Linux не заметил ничего странного при импорте новой версии XZ 5.6.0/5.6.1 из апстрима? • Легко ли проводить аудит современной цепочки поставок в самых популярных дистрибутивах Linux? • Возможно ли наличие других подобных бэкдоров, которые мы пока не выявили? Я разработчик Debian Developer, поэтому решил провести аудит пакета xz в Debian, поделиться в этом посте своей методологией и находками, а также предложить способы повышения безопасности цепочки поставок конкретно в Debian. Стоит отметить, что мы ограничимся только изучением способа импорта ПО дистрибутивом Debian из его апстрима, а также его распространения среди пользователей Debian. При этом мы никак не затронем тему оценки соответствия проекта апстрима best practices по безопасности разработки ПО. В этом посте мы не будем и говорить о том, какие меры следует предпринять на компьютере с Debian, чтобы гарантировать его защиту, потому что таких руководств и так уже много.

https://habr.com/ru/articles/958842/

#xzutils #бэкдоры #debian #backdoor

https://liblzma.so/ I made a thing. impulse control is for suckers

#xzutils #xzbackdoor

A summary of the #xzutils #backdoor for #TechIlliterates....

#TLDW: Never underestimate "weapons-grade autism" when it comes to finding #sus stuff...

https://www.youtube.com/watch?v=F7iLfuci75Y

#xz #EncryptionBackdoor #Govware #SSH #documentary #ITsec #InfoSec #OpSec #ComSec

Weekend Reads

* Phrack #72
https://phrack.org/issues/72/1
* DNS at IETF 123
https://www.potaroo.net/ispcol/2025-08/dns_ietf123.html
* History of Hawaii subsea cables
https://www.sciencedirect.com/science/article/pii/S0308597X2500260X?via%3Dihub
* China GFW disrupted TCP 443 traffic
https://gfw.report/blog/gfw_unconditional_rst_20250820/en/
* Analyzing JiaT75 xz-utils contributions
https://arxiv.org/abs/2508.13453

#Phrack #DNS #IETF #SubseaCables #China #xzutils