Обнаружен злонамеренный код в библиотеке xz/liblzma, который предназначен для нелегального удаленного доступа через SSH (backdoor) и выполнения команд, о чем свидетельствует уязвимость CVE-2024-3094. Вирус проник в выпуски 5.6.0 и 5.6.1 и успел войти в сборки и хранилища таких систем, как Gentoo, Arch Linux, Debian sid/unstable, Fedora Rawhide/40-beta, openSUSE factory/tumbleweed и других, хотя его активация не является возможной в каждой из них. Сложность ситуации увеличивается из-за факта, что под подозрение попал разработчик, имевший участие в других связанных проектах в последние годы, что вызывает сомнения в безопасности всего кода xz до полного расследования ситуации. В связи с этим GitHub уже заблокировал соответствующий репозиторий, объяснив это нарушением условий использования сервиса. Тем, кто установил заражённые версии программного обеспечения, советуют перейти на версии 5.4.6 или 5.4.1. Более предпочтительной является версия 5.4.1, поскольку её выпустил предыдущий оператор обновлений. Атака, которой подверглись системы, была исключительно хитроумной и заняла около двух лет на планирование и исполнение. Открытие проблемы произошло почти случайно, когда один из разработчиков заметил небольшое снижение производительности ssh-сервера на 0,5. Следить за обновлениями и развитием событий можно на официальном сайте проекта.