Предположительно бэкдор в пакет xz был внедрён разработчиком Jia Tan, который в 2022 году получил статус сопровождающего и выпускал релизы начиная с версии 5.4.2. Помимо проекта xz предполагаемый автор бэкдора также участвовал в разработке пакетов xz-java и xz-embedded, и был включён в число мэйнтейнеров проекта XZ Embedded, используемого в ядре Linux.

В организации продвижения бэкдора также замечены ещё два участника - Jigar Kumar и Hans Jansen, которые, судя по всему, являются виртуальными персонажами. Jigar Kumar в апреле 2022 года способствовал принятию в xz ранних патчей Jia Tan c реализацией поддержки строковых фильтров и оказывал моральное давление на Lasse Collin, тогдашнего сопровождающего, критикуя, что он не способен выполнять свои обязанности и не принимает полезные патчи. В июне Lasse Collin согласился, что проекту нужен новый сопровождающий, посетовал на выгорание и проблемы с психическим здоровьем, и передал право мэйнтейнера Jia Tan. После этого пользователь Jigar Kumar больше не появлялся в рассылке.

Получив права мэйнтейнера Jia Tan стал активно добавлять изменения в проект и по статистике за два года занял второе место среди разработчиков по числу изменений. В марте 2023 года ответственный за тестирование пакета xz в сервисе oss-fuzz был заменён с Lasse Collin на Jia Tan, а в июне в состав xz были приняты изменения, добавляющие в liblzma поддержку механизма IFUNC (конструктор crc64_fast был заменён на ifunc), который позднее был задействован для организации перехвата функций в бэкдоре. Изменение предложил Hans Jansen, а Jia Tan принял его в состав xz. Учётная запись Hans Jansen была создана непосредственно перед отправкой pull-запроса.

В июле 2023 года Jia Tan отправил разработчикам oss-fuzz запрос на отключение проверки ifunc из-за его несовместимости с режимом "-fsanitize=address". В начале февраля 2024 года ссылка на сайт проекта в oss-fuzz и на главной странице tukaani.org была изменена с "tukaani.org/xz/" на "xz.tukaani.org", где поддомен "xz.tukaani.org" размещался в сервисе GitHub Pages и контролировался лично Jia Tan. 23 февраля в репозитории xz были размещены архивы для тестирования работы декодировщика, среди которых были файлы bad-3-corrupt_lzma2.xz и good-large_compressed.lzma со скрытым бэкдором. M4-макросы для активации бэкдора были включены только в tar-архив с релизом 5.6.0 и были исключены из Git-репозитория, но засветились в файле .gitignore.

17 марта Hans Jansen, разработавший ранее патчи с поддержкой IFUNC, был зарегистрирован в качестве участника проекта Debian, а 25 марта им был отправлен запрос на обновление версии пакета xz-utils в репозитории Debian. Запросы на обновление версии также поступили разработчикам Fedora и Ubuntu (в Ubuntu репозиторий был на стадии заморозки и изменение было отклонено).

К просьбам обновить версию xz также присоединились некоторые пользователи, заявлявшие, что в новой версии устранены мешающие работе сбои, выявляемые при отладке в valgrind (проблемы возникали из-за некорректного определения раскладки стека в обработчике бэкдора и эти проблемы разработчики бэкдора постарались устранить в версии xz 5.6.1). Сбоем также заинтересовался Andres Freund, сотрудник Microsoft, участвующий в разработке PostgreSQL, который выявил наличие бэкдора и оповестил об этом сообщество.

Дополнение 1: Lasse Collin, прошлый сопровождающий проекта xz, передавший права Jia Tan, опубликовал заявление, в котором подтвердил, что архивы с содержащими бэкдор релизами были созданы и подписаны Jia Tan. Он также сообщил об удалении поддомена xz.tukaani.org (сайт xz будет возвращён на основной сервер tukaani.org) и упомянул, что его учётную запись на GitHub заблокировали. Lasse Collin единолично контролирует сайт tukaani.org и репозитории git.tukaani.org, а Jia Tan контролировал только проект на GitHub и хост xz.tukaani.org, но не имел доступа к серверу tukaani.org.

Дополнение 2: Разбор логики активации и работы бэкдора в пакете xz.

Дополнение 3: В сборочном сценарии CMakeLists.txt выявлено вредоносное изменение, не позволяющее использовать в xz механизм изоляции приложений Landlock.

Дополнение 4: По мотивам выявленного бэкдора подготовлен инструментарий xzbot, включающий в себя: honeypot для создания фиктивных серверов, притворяющихся уязвимыми для выявления попыток подключения злоумышленников; патч для замены открытого ключа в бэкдоре внутри liblzma.so на свой ключ (чтобы подключаться к бэкдору по своему закрытому ключу); демонстрацию для инициирования выполнения кода в модифицированном бэкдоре, используя свой закрытый ключ.