主要观点：

• 讲述了两次 OpenSSH 相关的“接近失误”事件，一次是 2002 年，一次是今年针对 liblzma/xz-utils 仓库的攻击，后者实际是第二次 OpenSSH 遭遇后门攻击。
• 分析了两次事件的相似点和不同点，相似点包括都针对 OpenSSH、攻击 build 系统等；不同点在于动机、攻击目标等方面。
• 指出供应链攻击已进化，如 zlib 等案例显示供应链完整性易受攻击，当前对供应链攻击的防御准备不足。
• 认为应减少攻击面和进行隔离，如加速部署沙箱等，目前 Linux 已有相关积极举措。

关键信息：

• 2002 年 OpenSSH 源代码被替换为后门版本，因开发者注意到校验和差异而被发现，后门简单，攻击者动机可能是搞恶作剧。
• 今年的 xz-utils 后门事件目标是 OpenSSH，更接近成功，针对 build 制品，payload 预存于二进制测试文件，攻击者通过社会工程成为核心开发团队成员。
• 供应链攻击风险高，如编译 OpenSSH 会涉及多个不同包的代码，攻击者可通过多种方式注入后门，目前防御方式存在不足。

重要细节：

• 2002 年攻击时黑客场景有好的服务器漏洞，若攻击者同时替换.tar.gz 和校验和文件会更成功。
• 今年的攻击利用现代 Linux 分发对 liblzma 的意外依赖，通过间接方式攻击。
• 以 zlib 为例说明供应链完整性依赖薄弱，很多项目都面临类似风险，当前操作系统设计在防御供应链攻击方面存在不足。
• 目前 Linux 已有一些减少攻击面的举措，如 Ubuntu 24.04 中 OpenSSH 地址空间无 liblzma 等。