去年初震惊整个开源和网络安全社区的 XZ 后门事件并没有离我们而去。在 XZ 事件中，攻击者 Jia Tan（化名，未必是华人）潜伏 XZ Utils 项目长达两年多时间，最终获得信任成为项目的共同维护者，之后他或他们利用其权限悄悄在 xz-utils 包中植入了一个复杂的后门。在恶意版本大规模传播前，后门就被发现了，因此没有造成大问题。但 Binarly REsearch 的调查发现，在攻击期间构建的部分 Docker 镜像仍然包含有 XZ Utils 后门。安全研究人员从 DockerHub 上发现了超过 35 个含有后门的镜像。虽然数字不多，但研究人员只扫描了一小部分镜像，而且只针对 Debian 发行版，其它发行版如 Fedora 和 OpenSUSE 情况未知。