La bibliothèque partagée de compression Xz (liblzma) a été compromise par l'un de ses 2 principaux développeurs. Une porte dérobée a été introduite et fortuitement découverte par un développeur du projet PostgreSQL qui évoque humblement sa découverte sur Mastodon : « I accidentally found a security issue while benchmarking postgres changes »
L'ingéniosité de l'attaque est de passer par un contributeur au long court et par une démarche très ingénieuse ; Ytterbium décrit en détail l'attaque dans un long journal publié sur LinuxFR.
Une fois n'est pas coutume : le problème des dépendances "invisibles" (et pour autant stratégiques) se pose ...
(source: https://xkcd.com/2347/ )