Предположительно бэкдор в пакет xz был внедрён разработчиком Jia Tan, который в 2022 году получил статус сопровождающего и выпускал релизы начиная с версии 5.4.2. Помимо проекта xz предполагаемый автор бэкдора также участвовал в разработке пакетов xz-java и xz-embedded, и был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux.
Er werden ook nog twee deelnemers gezien die de promotie van de achterdeur organiseerden: Jigar Kumar en Hans Jansen, die blijkbaar virtuele karakters zijn. Jigar Kumar promootte in april 2022 de adoptie van vroege Jia Tan-patches voor xz om ondersteuning voor stringfilters te implementeren en morele druk uit te oefenen op Lasse Collin, de toenmalige onderhouder, waarbij hij kritiek had dat hij zijn verantwoordelijkheden niet kon vervullen en geen bruikbare patches accepteerde. In juni was Lasse Collin het ermee eens dat het project een nieuwe beheerder nodig had, klaagde hij over burn-out en geestelijke gezondheidsproblemen, en droeg hij de rol van beheerder over aan Jia Tan. Hierna verscheen de gebruiker Jigar Kumar niet meer in de mailinglijst.
Nadat hij de rechten van een beheerder had gekregen, begon Jia Tan actief wijzigingen aan het project toe te voegen en volgens de statistieken behaalde hij gedurende twee jaar de tweede plaats onder de ontwikkelaars in termen van het aantal wijzigingen. In maart 2023 werd de persoon die verantwoordelijk was voor het testen van het xz-pakket in de oss-fuzz-service vervangen van Lasse Collin door Jia Tan, en in juni werden wijzigingen aangebracht in de xz-compositie die ondersteuning voor het IFUNC-mechanisme toevoegden aan liblzma (de crc64_fast-constructor werd vervangen door ifunc), dat later werd gebruikt om het onderscheppen van functies in de achterdeur te organiseren. De wijziging werd voorgesteld door Hans Jansen, en Jia Tan accepteerde hem in xz. Het Hans Jansen-account is direct vóór het indienen van de pull-request aangemaakt.
In juli 2023 stuurde Jia Tan een verzoek naar de oss-fuzz-ontwikkelaars om ifunc-controle uit te schakelen vanwege de incompatibiliteit ervan met de "-fsanitize=address" -modus. Begin februari 2024 werd de link naar de projectwebsite in oss-fuzz en op de hoofdpagina van tukaani.org gewijzigd van “tukaani.org/xz/” naar “xz.tukaani.org”, waarbij het subdomein “ xz.tukaani.org” bevond zich in de GitHub Pages-service en werd persoonlijk beheerd door Jia Tan. Op 23 februari werden archieven voor het testen van de decoder in de xz-repository geplaatst, waaronder de bestanden bad-3-corrupt_lzma2.xz en good-large_compressed.lzma met een verborgen achterdeur. M4-macro's voor het activeren van de achterdeur waren alleen opgenomen in de tarball van release 5.6.0 en werden uitgesloten van de Git-repository, maar verschenen in het .gitignore-bestand.
17 марта Hans Jansen, разработавший ранее патчи с поддержкой IFUNC, был зарегистрирован в качестве участника проекта Debian, а 25 марта им был отправлен запрос на обновление версии пакета xz-utils в репозитории Debian. Запросы на обновление версии также поступили разработчикам Fedora и Ubuntu (In het Ubuntu репозиторий был на стадии заморозки и изменение было отклонено).
Verzoeken om de xz-versie bij te werken werden ook vergezeld door enkele gebruikers, die verklaarden dat de nieuwe versie de bugs elimineerde die het werk verstoorden, gedetecteerd tijdens het debuggen in valgrind (de problemen ontstonden als gevolg van een onjuiste bepaling van de stapelindeling in de achterdeurhandler, en de backdoor-ontwikkelaars probeerden deze problemen te elimineren in versie xz 5.6.1). Andres Freund, een Microsoft-medewerker die betrokken was bij de ontwikkeling van PostgreSQL, was ook geïnteresseerd in de storing. Hij identificeerde de aanwezigheid van een achterdeur en bracht de gemeenschap hiervan op de hoogte.
Bron: opennet.ru
