Исследователи Binarly обнаружили 12 официальных образов Debian на Docker Hub, содержащих бэкдор XZ Utils.
Зловредный код XZ Utils был внедрен разработчиком Jia Tan и распространялся более года в популярных Linux-дистрибутивах.
Основные уязвимые образы включают версии Debian unstable, testing и trixie, созданные в марте 2024 года.
На базе зараженных образов было построено ещё как минимум 35 дополнительных контейнеров.
Команда Debian отказалась удалять старые образы, считая их безопасными для разработки и не предназначенными для продакшн-систем.
Постоянное наличие зараженных образов подчёркивает риски долгосрочных атак на цепочку поставок в контейнерных средах.
Get notified when new stories are published for "Hacker News 🇷🇺 Русский"