The BACKDOOR in XZ Utils: The WORST ATTACK this year

Meine neue Website ist endlich auch fertig:
Ihr findet dort auch die Möglichkeit einen NEWSLETTER von mir zu abonnieren. Das ist super praktisch, weil wir da nicht auf den CZcams Algorithmus angewiesen sind, dass ich euch erreiche. Ein Mal die Woche kommt dann ein Update, nicht nur mit Videos, sondern auch mit Themen, die es vielleicht in kein Video geschafft haben!
the-morpheus.de/

Ich will mal einfach hier, allen Open Source Entwicklern danke sagen.
Unsere Welt wäre Technologisch nicht da wo sie ist, wenn ihr nicht da wärt.
Darum hoffe ich das es endlich mehr Anerkennung in Zukunft für auch gibt.
Und Zusätzlich danke an Morpheus

Hatte diese Erklärung bislang nur englischsprachig gesehen. Sehr gut erklärt!
Ich nutze Linux seit Jahren und danke allen, die sich die Nächte beim Programmieren um die Ohren schlagen, viel zu wenig.
DANKE!

Und jetzt überlegt mal wie viele Backdoors nicht durch Zufall gefunden wurden und noch rumschlummern.

Vielen vielen Dank 🎉. Das war wie immer ein sehr gelungenes Video und du hast die Thematik spitzenmäßig erklärt. Dieses Beispiel zeigt einmal mehr auf, dass Schwachstellen und Sicherheitslücken zu einer ständigen Bedrohung führen und führen werden. Allein allein dieses Video ist so lehrreich und sensibilisiert abermals für dieses Thema. Es ist unglaublich, wie viel Mühe du dir für diese Videos gibst! DANKE

Bravo und danke für deinen wetvollen Beitrag und ja, bitte mehr "Liebe" für Open Source Developer.

Kurz auch mal ein großes Dankeschön an dich, dafür dass du dich hinsetzt und solche komplexen IT-Themen verständlich aufbereitest! :)

Super Video. Danke dafür. 👍
Ist schon der Hammer wie gut das durchdacht war. Ich bin mal gespannt was noch so alles darüber raus gefunden wird.

Was wohl diese Backdoor Wert gewesen wäre, wenn sie nicht entdeckt worden wäre...
Unbezahlbar!
Danke für das Video!

Mehr Sorgen sollten einem die ganzen Angriffe bereiten, die *nicht* entdeckt worden sind. Akteure, die so vorgehen, setzen nicht alles auf ein einziges Pferd. Da kann man dann am Ende nur hoffen, dass diese "Akteure" tendenziell eher zur "eigenen Seite" gehören. Gut, dass es trotzdem auch Leute wie Andres Freund gibt, der den Auffälligkeiten wirklich nachgegangen ist und sie öffentlich gemacht hat!

Will jetzt nicht direkt den Aluhut aus der Schublade holen, aber so ausdauernd und durchdacht wie das ganze umgesetzt wurde und weil hier trotzdem scheinbar nur der Angreifer selber zugriff bekommen konnte, würde ich hier irgendwelche staatlich finanzierten Akteure nicht ausschließen.

Vielleicht sollten wir überlegen, so ein paar essentiellen Projekten wie SSH oder XZ mal vielleicht bisschen Steuergelder zu geben, wenn die Firmen das schon nicht machen, schließlich baut die ganze Wirtschaft darauf. Und wenn das vielleicht sogar ein geheimdienstlicher Angriff war, dann kann man das auch als nationale Verteidigung verstehen, solche Projekte zu finanzieren.
Sollte der CCC mal bisschen Druck machen da.

Der SCHLIMMSTE ANGRIFF dieses Jahr...Dramatische Pause...bis Jetzt🤩 immer schön locker bleiben mit der brennenden Kirche im Dorf😎🍻

Hut ab für deine Mühe. Ich komme nichtmal dazu alle Videos von dir anzusehen, also iwie glaube ich du hast dich geklont um das alles zu machen. Nein Scherz beiseite, habe wirklich respekt vor dir, wie du es schaffst all diee zu machen!

Schönes Video, wobei man sagen muss dass ja eigentlich nur 3 Distros und Testing branches betroffen waren. Finde daher das thumbnail unglücklich gewählt.

Schönder Bericht, der genau das eigentliche Thema anspricht, dass diejenigen, die sich als Maintainer so aufopfernd einbringen, keine wirkliche Resonanz in der Öffentlichkeit haben. Wie wäre es mit einer Maintainer Rangliste, einem Maintainer des Jahres? Bei Anwälten gibt es die Legal 500, wo es eine Submission List gibt. Sowas könnten doch Fachmagazine oder Portale auch bei Maintainern machen.

Das ist eine Backdoor die zufällig entdeckt wurde. Ich frage mich ob das wirklich die einzige war, oder wie viele eigentlich existieren, auch in Windows, MacOS, Android, iOS usw.

Unabhängig von der Backdoor ist es einfach frech, jemanden Druck zu machen für etwas, dass er freiwillig tut. Also manche Menschen lassen das leider mit sich machen, aber mir wäre das völlig latte. Wenn es schneller gehen soll: Bezahl oder mach es selbst. Das ist in jeder Branche so. Mag sein, dass es bei Open Source Projekten anders läuft, aber dennoch muss man auf seine Gesundheit achten, vor allem für etwas, was nur mangelhaft wertgeschätzt wird.

Dankeschön für das tolle detailierte video! Super!😃 Du hast die Fähigkeit, komplexe schwierige Vorgänge, anschaulich zu erklären, dass wir sie verstehen!😄

Hey Morpheus ein wenig konstruktive Kritik hier:
Ich finde das Video an und für sich gut und verständlich!
Jedoch lässt der Präsentations Style ein wenig zu wünschen übrig!
Man hätte definitiv das Video ein wenig kompakter gestalten können und nicht als wäre es ein stream einfach mit den richtigen links von der Leber reden.
Aber danke, dass du dieses Video gemacht hast!

Es gibt so oder so niemals 100% Sicherheit. Egal was man tut.

FOSS ist so unfassbar wichtig für unsere Welt und kaum einer (aus der Gesamtbevölkerung) ist sich dem auch nur im geringstem bewusst.
Vielleicht eine unfassbar stupide Idee, aber eventuell sollte man zu Ehren der FOSS-Entwickler wirklich einen Feiertag einführen.
Mit dem dadurch entstehendem (jährlichen) Fokus ändert sich dann vielleicht auch die Haltung.
Verdient wäre es jedenfalls...

Das ist exemplarisch für die Schwachstellen von Open-Source! Die Qualität und damit auch die Sicherheit hängt am Ende an den Menschen, die ihre Zeit investieren. Jemand der sich ehrenamtlich im Sportverein engagiert ist hochmotiviert und kann auch Leistungen auf Proflevel vollbringen. Ehrenamtliches Engagement kann aber auch nur temporär sein!

Geiles Video!
Ich war im Urlaub und hab heute gesehen, dass ich knapp 1000 Mails hab.
Demnach werde ich Morgen in den E-Mails bestimmt auch zu dem Thema etwas sehen!
Gut zu wissen, da ich das Thema komplett verpasst habe, vielen Dank!
Ich hoffe, du bist bei bester Gesundheit und bleibst uns lange erhalten!

Erstmal richtlinien lol... wollte nur für den Algorithmus danke sagen 😅
Aber mal ernstaft danke an die open Source entwickler, und danke fürs top viedeo!
Hoffe das zählt als keine werbung und war hofentlich auch kein hate 😅❤

Hallo Cedric,
für die Betroffenen, schlimm. Wertfrei betrachtet, ... das ist ganz hervorragender Entwickler.
Gruß, Enigma-pi.

Andres Freund arbeitet übrigens bei Microsoft. Nur so nebenbei.

Ein Deutscher "Andreas Freund" hat diese Lücke entdeckt und gemeldet. Der Mann ist ein Held...

Hochinteressant! Wäre super, wenn du nochmal eine Fortsetzung machst, sobald der Malware Code entschlüsselt wurde!

😅 das war aber wirklich knapp. Wird echt Zeit das auch große Firmen zu so etwas finanziell beitragen.

Da soll mal einer sagen die Obsession Dinge zu messen und schneller/grösser/genauer zu bekommen hätte keine positiven Nebeneffekte :D

Ich finde zwei Jahre übrigens gar nicht so lang. Das ist die Zeit, die durch Infrastrukturprobleme auch mal zwischen zwei bis drei Releases verstreichen kann. Nebenbei: M4 ist ein autoconf macro. Das sollten mehr Leute lesen können, aber viele trauen sich nicht. So schwer ist es nicht ⇒ sollten mehr Leute lernen.

Hier der Typ der den bug bzw. Die Backdoor gefunden hat.
Eins kann man schonmal sagen; der typ kennt SEIN system.
Auch wie du es am Schluss erklärt hast … krass das man anhand von der Login Geschwindigkeit kleine Rückschlüsse zieht das da was faul ist .
Vorallem der musste ja im Voraus schon im Gedanken sich alles ausgedacht haben müssen wie der da eventuell vorgeht + sich die Mühe da machen und vor dem Update die Geschwindigkeit zu testen und danach … das meine ich mit Gedanken schon davor gemacht zu haben
Bei sowas fällt mir nur ein das man Monsterlangeweile haben muss um auf etwas krass verstecktes zu stoßen ..
Und in diesen Falle wenn ich raten müsste würde ich sagen das waren die Chinesen, falls das nicht einer Alleine war
Falls ja … krass auch so vorzugehen mit Jahre langer Planung und wissen wie man an die Sache ran geht

Hört sich stark nach Geheimdienst an. So gut durchdacht und mit wenig Spuren. 🕵🏼

Was ein Video. Das sowas fast passiert wäre, zeigt, dass dort sich wirklich etwas ändern muss. Ich hatte mich schon mit 14 gefragt warum es Open-source gibt und wie es sich halten kann. Definitiv sollte da eine Regelung kommen. Wer weiß, welche stellen dadurch aufgedeckt wurden und welche weitere lücken es gibt, oder was sogar in Planung ist.
Mega heftiges Video.

Danke für den Beitrag!

Wenn man sich immer auf überarbeitete Ehrenamtliche verlässt, dann ware es leider nur eine Frage der Zeit, bis es mal passiert.

Vielen Dank! Mein Dank für alle, die ehrenamtlich im Internet uns ihre Projekte zur Verfügung stellen und sogar Unkosten selbst damit haben. Durch den Kommerz erwarten die Nutzer:innen häufig den selben Support von solchen Projekten und reagieren dann gleich mit Unverständnis (mildeste Form).
Meine Frage ist, wie weit wäre die/der Angreifende gekommen, wenn ssh-server mit Verbot für root eingestellt ist. Hätte dies noch bestand gehabt oder wäre die/der Angreifende sogleich root geworden?

👍 wie immer: vielen lieben dank und >>> hut ab! du bist klasse!🎩

Danke für die detaillierten Infos 👍😍😍

Super Video, super Info! Danke auch Dir, man! 👍👍👍

Wow. Vielen Dank für dein Video! ❤❤❤❤

OMG, wer kommt denn überhaupt auf sowas extrem Verstecktes drauf? Respekt! -- 23:05 ... jemand hat ein Benchmark gemacht, wo es auffiel. Schon krass die ganze Geschichte. Das sollte eigentlich überall bekannt gemacht worden sein. ZB in der c't als headline.

Open Source Maintainer hier, aber keiner benötigt meine Projekte :D

19:30 Kleine Korrektur: Die Challenge wird bereits verschlüsselt an den sich authentifizierenden Client geschickt -- und zwar wie folgt:
1) Server generiert einen Challenge-Text und verschlüsselt diesen mit dem hinterlegten öffentlichen Schlüssel des sich anmeldenden Benutzers.
2) Server sendet den verschlüsselten Challenge-Text an den sich anmeldenden Client.
3) Client muss durch Entschlüsselung des Challenge-Textes nachweisen, dass er im Besitz des zugehörigen privaten Schlüssels ist.
4) Client sendet den entschlüsselten Challenge-Text an den Server zurück.
5) Server gewährt bei Übereinstimmung des ursprünglich von ihm generierten Challenge-Texts mit dem vom Client entschlüsselten Challenge-Text den Zugriff.
TL;DR: PubKey VERschlüsselt nur, PrivKey ENTschlüsselt nur. Anders formuliert: Jeder darf VERschlüsseln, aber nur der PrivKey-Besitzer ENTschlüsseln.

Das erinnert mich etwas an die Geschichte von Clifford Stoll. Warum ist da eine Differenz von 75 Cents, wie kann das denn sein?

Vielen Dank für die guten Erläuterungen

ssh verwendet lzma nicht direkt. Nur wenn es gegen systemd gelinkt wird, bekommt es diese dependency mit.

Gut erklärt. Danke dir für die Mühe.

gutes Video gut erklärt danke dir

Ist schwierig. Wenn man jedem Danke sagen sollte in finanzieller Art, der Aufwand und die Kosten wären gigantisch. Und ein globales DANKE irgendwo im Netz an alle ist nichts Wert. Es ist eine Tragödie.

Was mir grade auffällt: durch brotli und zstd war xz auch nicht mehr der heiße Scheiß (sondern nur, von was wir alle abhängen), so dass vermutlich die Aufmerksamkeit nochmal stärker eingebrochen war.

Leider enthält das Video gravierende Fehler:
SSH nutzt LZMA nicht für Datenkompression, dort wird, wenn das überhaupt aktiviert ist, gzip benutzt.
LZMA wird nicht direkt in SSH verwendet, sondern ist eine Abhängigkeit von dbus. Fedora und Debian patchen SSH um mit dbus zu interagieren. Dadurch wird der Angriff überhaupt erst möglich.

Ich bin kein Entwickler und irgendwo hier verloren gegangen. Ich dachte ein build prozess wandelt lesbaren lokalen source code in eine ausführbare datei um. Wie kann dann da etwas nicht lesbares oder geschweige denn auf gitignore stehendes in die binary eingebunden werden?

Am erschreckendsten finde ich, dass es von einer quasi One-Man-Show gepflegte Soft gibt, die, weil schon so lange da, quasi unhinterfragt überall genutzt wird und dadurch eine extreme Abhängigkeit erzeugt wird. Bei Bibliotheken finde ich das noch schlimmer als bei Einzelanwendungen. Ich hatte über 10 Jahre Abhängigkeit von einer Handvoll Programme, die nur von One-Man-Shows erstellt und gewartet wurden. Als ich mir mal überlegt hab was wohl passiert, wenn diese Leute plötzlich nicht mehr sind, fing ich an umzustellen. Bei Bibliotheken ist das perfider. Das merken nicht mal mehr die Programmierer. Gab es nicht mal NSA-Backdoors in Verschlüsselungsbibliotheken? Der Schritt Richtung Open-Source ist schon mal gut. Aber die Entdeckung von Bugs/Backdoors etc. sollte standardmäßig professionell erledigt werden, um sicher zu sein. Da scheint die momentane Schwachstelle in der Softwareherstellung zu liegen.

Danke für das Video.
Ich muss aber ehrlich gestehen, dass ich nicht genau verstanden habe, wann die Backdoor greift und wie sie funktioniert.
Kann mir das bitte jemand kurz und knapp zusammenfassen? Könnte hier nicht auch die NSA dahinter stecken?
Entsteht die Backdoor beim nutzen des xz Tools oder reicht es aus, wenn diese Version (5.6.0-5.6.1) auf dem Rechner installiert ist?
Oder entsteht die Backdoor zum SSH Rechner, weil die mit xz verschlüsselten Daten dorthin übertragen werden?
Wie genau nutzt der Angreifer diese Backdoor aus? Kann er sich dann einfach auf den Rechner schalten oder kann er nur in dem Moment ausgeführten xz Anwendung Tätigkeiten ausüben?

Super erklärt, viele Dank!
Hab aber nicht ganz verstanden, warum sagst du alle Server hätten neu aufgesetzt werden müssen (28:28)? Reicht es nicht, eine gefixte Version von xz zu laden?
Lg

24:31 Das zeigt aber auch, wie wichtig es ist sich mit den Dingen zu beschäftigen. Da war irgendein random Dude, der einfach die Performance getestet hat. Das sind Sachen, da kümmern sich Viele nicht mal drum.
Wenn ich da an Software denke, was da über JAHRE für Fehler sind wo Niemand genau hinschaut. Irgendwelche Software die weltweit eingesetzt wird, man nutzt bestimmte Funktionen und dann hat das Ding irgendeinen Memory Leak. Wenn ein 0815 Programm einfach mal 10GB Raum nur dadurch braucht, dass man ständig mit der Maus klickt und je Eingaben man macht, umso langsamer wird es.... Ist vermutlich irgendein Bug, aber weiß man es? Bugs bei anderen Geräten, wo es praktisch unmöglich ist über den Support mal zu den Hersteller zu erreichen, dass an sich die Sache mal anschaut.

Warum ich open source maintainer werden würde, wäre, dass es sich sehr gut im Lebenslauf macht. Das ist quasi eine indirekte Bezahlung.

Wow, super video!

Bin selber kein Entwickler sondern Systemintegrator, magst du mal was zu git ignore machen? Für mich stellt sich hier die Frage, warum gibt es diese Option überhaupt.
Und natürlich vielen Dank für deine vielen guten Videos, das hier insbesondere.

Kann mir jemand erklären von wo die Malware denn jetzt genau geladen wird, wenn sie nicht im Github Repo ist? Und warum kann man im Quellcode nicht sehen, dass da zusätzliche Dateien von irgendwo gezogen werden?

Das soll sich aber nur auf Distributionen auswirken, die sshd in Verbindung mit systemd verwenden, wobei sshd gegen xz-utils (linlzma) gepatcht ist (Debian, Ubuntu Rolling-Releases wie Suse Tumbleweed etc., außer arch ist nicht gepatcht gegen xz-utils). außerdem müssen noch einige andere Punkte erfüllt sein das die Backdoor geeifen kann.

Vielen Dank fürs Video , in nem anderen Video hatte ich gesehn das es nur bei bestimmten ssh geht die gepatched sind mit lzmalib iüber systemd über systemd-notify zum ssh server deamon is vllt auch intressant das einige Distro´s gibt wo es nicht drauf läuft. mfg Lifoy

Zeigt dass im Grunde ale wichtigen und weit verbreiteten Open Source Projekte Ziel für Backdoorangriffe werden können. Und irgend ein Maintainer da was reichschleichen kann.

Es gibt warscheinlich in Open-Source Projekten noch viel mehr Malware, die aber einfach nicht endeckt wurde...

Enorm wichtig an der Sache ist doch auch, dass das wahrscheinlich in wenigen Wochen in allen neuen LTS-Releases gelandet wäre, oder verstehe ich das falsch? Umso dankbarer kann man dem MS-Entwickler sein, der genau wissen wollte, warum sein SSH-Login auf einmal so langsam ist. Nicht vorstellbar, was passiert wäre, wenn das tatsächlich im großen Stil ausgerollt worden wäre.

Ist denn bekannt, wann die invizierte Version verteilt wurde? Danke für die gute Info.

Was wäre das für eine utopisch gute Welt, würde man das dafür benötigte Können und das dafür verwendete und nun einfach verschwendete (Steuer)Geld einfach mal FÜR Security einsetzen. Also Cybersecurity, nicht National Security :P
Super Vid, danke!

Thehe du sagst es, genau die selben probleme bei mir ;)
6 Monate Greasyfork 100 downloads täglich aber letzten endes wegen Suopport aufgehört zum Scripten...

Als jemand der keine Ahnung von Softwarelogistik in der Open Source / Linux Welt hat habe ich hier mal eine Verständnisfrage:
Die Malware ist ja (Soweit ich das verstehe) nur in der vorkompilierten Bibliothek drin. Würde man das Binary selbst bauen wäre es ja clean (eingebaut wird es ja von der M4 Datei die in den Sourcen nicht drin ist), ich vermute mal, es baut und funktioniert auch ohne die M4 Datei, sonst wäre das wohl eher aufgefallen.
Jetzt die Verständnisfrage: Ist das üblich das Distributionen die Binaries übernehmen oder wird so was vom Distributor üblicherweise selbst gebaut (nur dann weiß man ja sicher, was eigentlich drin ist).
Wenn das so ist wäre jetzt der richtige Zeitpunkt das mal zu überdenken. Malware ist doch in den Sourcen viel leichter zu erkennen als in den Binaries oder liege ich da komplett falsch?

Gibt's auch schon Erkenntnisse zum rooten? SSH hat doch per Default root login disabled.
Gutes Video!

Wenn ich die CPU Auslastung von Windows beobachte im Leerlauf, dann ist Windows reinste Malware :)

Habe persönlich kein Problem damit, wenn mich einer fragt, ob ich noch dran bin am Projekt. Kann man einfach mit Ja oder Nein beantworten. Habe auch schon mal bei einem Maintainer nachgehackt, als nach 3 Monaten keine Reaktion auf meinem PR kam. War halt die Frage Fork oder nicht Fork.
Andere Dinge nerven viel mehr. Wie z.B. das immer wieder die gleichen Fragen gestellt werden. Das man nicht die Doku lesen kann. Die Issue-Liste ist kein Support Kanal! Dafür gibt es Stackoverflow und Co.

Ich hab die ganze zeit auf „April April“ gewartet. Kam aber nicht 😳

wahnsinnig genial

Open source and capitalism - schwieriges Verhältnis

Hallo Morpheus! Ich benutze Fedora und hatte auf die 40-Beta geupdated, d.h. ich hatte die betreffende Version 4.6.1 installiert, was natürlich bei Bekanntwerden der Lücke gedowngraded wurde. Red Hat selbst hat ja geraten, betroffene Systeme neu aufzusetzen. Glaubst du es ist durch das Update behoben oder ist da noch was auf dem System und ich muss neu installieren?

Ich dachte, es wurde durch die schnelle Reaktion vermieden, dass das Problem in stable Versionen von ssh auftritt. Sind dann wirklich 90% aller Server betroffen? ^^
PS: Ich möchte damit nicht das Problem relativieren, fand nur 90% etwas heftig im Thumbnail.

Kannst Du mal thematisieren warum es überhaupt sein kann das billionen Konzerne ihre Server auf einer ein-Person Opensource software laufen lassen? Ich versteh das nicht. Wie kann das sein das dies nicht durch x-Instanzen durch geht und gesichert wird?

Endlich hauen die mal endlich mal was für Linux gefährlich ist

Sehr interessantes Video. Besten Dank
Kleine Frage, hast Du zufälligerweise einen Beitrag zur GoFetch Lücke bei den Apple M Prozessoren in Planung? Diese Lücke würde mich besonders interessieren.
LG

gibt es denn schon eine Stellungnahme von Jia Tan?? Muss doch frustrierend sein, wenn so ein Plan kurz vorm Start abgefischt wird...

Das Thumbnail ist irreführend wie durch andere Kommentare schon erklärt

Der Windows Defender lässt mich die Linux Backdoor nicht runterladen :D

@TheMorpheusTutorials Der Maintainer der xz-utils, Lasse Collin, hat nie was von einem Burn-Out gesagt. Ich verstehe nicht warum viele dem ganzen diesen Spin geben wollen? Sein Statement auf der Mailinglist war, ich zitiere: I haven't lost interest but my ability to care has been fairly limited mostly due to longterm mental health issues but also due to some other things.
Kurz mentale Probleme und einige andere Dinge. Da kommt vieles abseits eines Burn-Outs in Betracht (Depression etc.), muss auch absolut gar nichts mit dem OSS-Projekt xz-utils zu tun haben.

Cooles Video, kommi für den YT Algo 👌🏻✌🏻

Wow heftig, kann da 7-zip auch betroffen sein, dass verwendet doch auch LZMA etc. ?

Könntest du auch mal ein Video machen mit den Angriffen, die es alle gibt und was sie alles anrichten können/ könnten?
Und wie man die einen und die andern evt enttarnt?
Irgendwas fällt doch immer auf..
Dieser Hack beim DBT hätte auch viel früher entdeckt werden können! Stattdessen klimpern die fleißig Tasten weiter, die nicht mehr wie vorher funktionnieren.. 😱
Systemabstürze sollten immer zu hinterfragen sein, besonders wenn es soviele aufeinmal sind!
Wird man aber ständig belästigt, sollte man dann doch lieber die Finger von lassen, wenn man eh nix davon versteht, oder sich reinfuchsen, bis man es versteht und sich besser schützen, falls dies überhaupt möglich ist, in einer Welt voller Möglichkeiten? 😂😂😂

Wie mies der Angreifer sich fühlen muss: Jahre lang Zeit darin investiert, nur damit seine Hintertür in wirklich kurzer Zeit auffliegt. xD

Kannst du bitte in Zukunft die Lautstärke deiner Videos erhöhen?

Es sollte für die Allgemeinheit einfacher werden einen Beitrag zu Open Source Projekten zu leisten. So könnte man Patenschaften für einzelne Datein vergeben. Der Pate für diese Datei bekommt dann die benötigten Werkzeuge zum Überprüfen der Datei. Das kann etwa eine statische Codeanalyse oder auch die Untersuchung einer ausführbaren Datei auf verdächtige Maschinenbefehle, oder auch nur die Überprüfung der Rechte sein.
Das kann aber auch die Frage sein, ob sich die ausführbare Datei aus den angegbenen Quelldateiten herstellen lässt.
Es sollten alle Dateien überprüft werden, und nicht nur die, auf die sich die Community zufällig stürzt.

Was ich mich frage, wenn die 'Build-to-host'-Datei nur in der Binary vorhanden war, sprich nur im fertigen Build. Wären dann nicht die System, die es aus dem Quellcode kompilieren, also aus dem Repository selbst, fine gewesen, oder verstehe ich da etwas falsch?
Wie machen das denn die Linux/Unix-Distributionen? Laden sie sich die Binärdateien herunter oder kompilieren sie diese selbst aus dem Quellcode? Oder ist das unterschiedlich?

Und das Internet brennt mal wieder... 🔥

der sound in dem video ist echt mega beschissen mit diesem leiser und lauter werden

Abgenommen? Neue Frisur? Weniger Stress?

hm... also da es so stark "[...]bis zum Ende durchengineert gewesen[...]" war + der doch etwas längere Zeitplan und die damit verbundene Vorrausplanung - riecht für mich nach einem Staatlichen Akteur...

Also wenn ich mir den Aufwand vorstelle dafür, würde ich als erstes an eine Öffendliche Stelle denken. Die haben das Geld für so etwas.
Wenn ich mir allerdings vorstelle, das das über Jahre gemacht wurde, dann würde das auch einer einzelnen Person gelingen.
EXTREM ist beides.

Wobefindet sich die Grafik? Bin gerade zu dumm sie zu finden

Ohne cap oder Mütze deine Haare G musst ändern aber dein Bart immer fresh