两周前微软研究人员Andres Freund意外发现涉及SSH伺服器的供应链攻击，并指出问题是在SSHD（Secure Shell Daemon）采用的资料压缩程式库XZ Utils，攻击者对其中的LMZA压缩演算法元件liblzma出手，在其程式码埋入后门，潜伏长达3年，Red Hat将其登记为CVE-2024-3094列管，CVSS风险评分达到10分，震惊整个开源社群及资安界。

但XZ Utils及其中的liblzma元件并非只有SSHD采用，开源专案运用的情况相关广泛，究竟其影响范围如何，是否有人著手进行清查？迄今尚未有相关组织或研究人员提出说明。然而，在此情况不明的态势下，又传出有此后门程式的供应链攻击事故。

资安业者Phylum指出，他们发现以程式语言Rust实作的liblzma遭遇供应链攻击，维护者于4月5日将其中一个元件liblzma-sys进行0.3.2改版，但研究人员发现，当中被植入了「XZ后门程式」，而有可能导致该程式库面临潜在威胁，或是被用于寄生攻击。

程式库liblzma原是在XZ Utils实作的LZMA资料压缩程式库，有人以Rust程式语言打造同名程式库，上架于Rust套件库crates.io，供这种程式语言的开发者运用。

对此，研究人员9日于该专案的程式码储存库GitHub通报此事，数个小时后开发者移除相关程式码。在下架之前，受影响的liblzma、liblzma-sys程式库分别被下载5,500及1,100次。