分析發(fā)現(xiàn)xz后門黑客可能生活在東歐 但試圖冒充中國用戶發(fā)起攻擊 – 藍(lán)點(diǎn)網(wǎng)

 人參與 | 時(shí)間:2025-11-23 04:40:35

xz 后門盡管沒有引起嚴(yán)重的分析發(fā)現(xiàn)問題,不過這次安全危機(jī)也為 Linux 乃至整個(gè)開源社區(qū)敲響警鐘,后門黑客戶那就是生活無錫美女快餐外圍上門外圍女(電話微信181-8279-1445)提供1-2線熱門城市快速安排30分鐘到達(dá)想要發(fā)起供應(yīng)鏈攻擊其實(shí)也不是特別困難。

在 xz 項(xiàng)目中原作者因?yàn)楦鞣N原因身心俱疲,東歐但試點(diǎn)網(wǎng)當(dāng)有個(gè)熱心的圖冒貢獻(xiàn)者前來幫忙時(shí),原作者自然非常高興并逐漸信任他,充中進(jìn)而逐漸將整個(gè)項(xiàng)目交給他。國用

現(xiàn)在已經(jīng)有不少開源社區(qū)成員在分析 xz 后門中的起攻黑客 Jia Tan 的真實(shí)身份,盡管想要真正追查到他的擊藍(lán)無錫美女快餐外圍上門外圍女(電話微信181-8279-1445)提供1-2線熱門城市快速安排30分鐘到達(dá)真實(shí)身份很難,不過現(xiàn)在已經(jīng)有推測表明 Jia Tan 可能是分析發(fā)現(xiàn)一個(gè)生活在東歐的黑客,并且他還故意冒充東八區(qū)的后門黑客戶用戶(該時(shí)區(qū)包括中國全部地區(qū)、俄羅斯 / 馬來西亞 / 新加坡 / 澳大利亞部分或全部區(qū)域)

開源社區(qū)成員 RHEA 對 Jia Tan 的生活 GitHub 提交記錄進(jìn)行分析,主要觀察他是東歐但試點(diǎn)網(wǎng)在哪些時(shí)間進(jìn)行活動的,需要注意的圖冒是提交時(shí)間是可以修改的,前提是充中你每次操作時(shí)都修改時(shí)間,這是一個(gè)比較難堅(jiān)持的事情,畢竟比較麻煩。

分析發(fā)現(xiàn)xz后門黑客可能生活在東歐 但試圖冒充中國用戶發(fā)起攻擊

冒充東八區(qū)用戶:

一般來說黑客的工作時(shí)間集中在下午或深夜比較合理,畢竟很少有人愿意早晨五點(diǎn)就起來干活 (盡管早睡早起也確實(shí)是個(gè)好習(xí)慣)。

Jia Tan 這名字聽起來就像是東亞人,而他的 Github 大部分提交都帶有 UTC+8 時(shí)間戳,也就是東八區(qū)用戶,東八區(qū)用戶配合亞洲名字,那么想要冒充誰其實(shí)已經(jīng)很明顯。

然而黑客顯然不會使用自己的真實(shí)名字,所以這招禍水東引本身就存在漏洞,所以每次提交都修改時(shí)區(qū)為東八區(qū)似乎有助于提高可信度。

有幾次忘記修改時(shí)區(qū):

正如前面提到的每次修改系統(tǒng)時(shí)區(qū)其實(shí)是個(gè)很麻煩的事情,畢竟一年提交那么多次代碼每次修改會讓人無比煩躁。

因此分析就發(fā)現(xiàn)在 UTC+2 和 UTC+3 時(shí)區(qū)分別有過 3 次和 6 次調(diào)提交,這與 UTC+8 的 440 次提交來說顯得很少,但卻是個(gè)關(guān)鍵證據(jù)。

畢竟如果真是生活在東八區(qū),那為什么有幾次要修改成 UTC+2 或者 UTC+3 呢?要么他是去東歐旅游了,順手在那里寫的代碼并提交。

那旅游這事河里嘛?也不河里,因?yàn)橛袃纱翁峤粫r(shí)區(qū)發(fā)生變更,但中途有 11 個(gè)小時(shí)的時(shí)間差,也就是說他在 UTC+3 提交代碼后立即飛往 UTC+8,但這兩個(gè)時(shí)區(qū)之間的飛機(jī)通常要 10~12 個(gè)小時(shí)的飛行時(shí)長,這還是直達(dá)的情況下,如果考慮中轉(zhuǎn)時(shí)間會更長,因此這看起來并不合理。

還有一次提交時(shí) UTC+3 和 UTC+8 只差幾分鐘,馬斯克的星艦也沒這么快,所以必然有一個(gè)時(shí)區(qū)是造假的。

然而誰會在逢年過節(jié)還繼續(xù)干活呢?

在分析中有個(gè)很有趣的現(xiàn)象引起 RHEA 的關(guān)注,那就是他對比了中國 2023 年的節(jié)假日,發(fā)現(xiàn) Jia Tan 竟然在中國農(nóng)歷新年以及中秋節(jié)等假期提交代碼。

倒不是說不能在法定節(jié)假日期間繼續(xù)干活并提交代碼,但 RHEA 發(fā)現(xiàn)這名黑客在東歐假期 (UTC+2 和 UTC+3 都包括部分東歐國家) 的時(shí)候卻沒有提交代碼。

東歐假期與中國的法定節(jié)假日并不重疊,在中國節(jié)假日期間提交代碼而在東歐節(jié)假日卻沒有提交代碼,因此從代碼提交時(shí)間來看,Jia Tan 的工作安排和假期更適合東歐人,而不是東亞或東南亞地區(qū)的人。

另一方面,Jia Tan 的主要工作時(shí)間是周二、周三、周四和周五,如果他是個(gè)業(yè)余愛好者那有自己的工作,不可能工作日還如此活躍的提交代碼。

除非他是受雇于人,也就是這就是他的主要工作,所以周六、周日都是休息的,至于周一,想必全世界打工人都一樣,剛剛過了周末周一腦袋不夠清醒不是很想干活吧。

基于我們可以初步認(rèn)為 Jia Tan 很有可能是生活在東歐的人,而發(fā)起攻擊就是他的主要工作,使用東亞名稱和修改 UTC+8 就是想要規(guī)避追蹤,不過打工人偶爾偷懶也是正常的,所以總有幾次提交泄露了他所在的真實(shí)時(shí)區(qū)。

頂: 6672踩: 3