MakuluLinux işletim sisteminin her kurulumunda, geliştiricinin kendi komuta ve kontrol (C2) sunucusuna kalıcı bir bağlantı kuran gizli bir arka kapı (backdoor) içerdiği ortaya çıktı. WeRAI tarafından keşfedilen bu kritik güvenlik açığı, üçüncü taraf bir ihlalden ziyade, işletim sistemi yükleyicisinin içine doğrudan geliştirici tarafından yerleştirilmiş bir bileşen olarak tanımlanıyor. "check.bin" adlı ikili dosya, sistem başlangıcında "Sistem Sağlık Kontrolü" adı altında otomatik olarak çalışacak şekilde ayarlanıyor ve "makulu.online" alan adına ait olan "217.77.8.210:2006" IP adresine sürekli bir TCP bağlantısı kuruyor. Bu durum, arka kapının doğrudan geliştiricinin altyapısıyla ilişkili olduğunu kesin olarak kanıtlıyor.
Bu durumun ciddiyetini artıran ek güvenlik açıkları da mevcut. MakuluLinux'un güncelleme mekanizması, güncellemeleri şifrelenmemiş HTTP üzerinden indiriyor ve herhangi bir kod imzalama (code signing) doğrulaması yapmıyor. İndirilen betikler ("verification.bin" gibi) otomatik olarak çalıştırılabilir hale getiriliyor ("chmod +x") ve her beş dakikada bir "sudo" yetkileriyle çalıştırılıyor. Bu, bir araya girme (man-in-the-middle) saldırganının, root ayrıcalıklarıyla rastgele kod enjekte etmesine olanak tanıyarak kullanıcıları ciddi risk altına sokuyor. Geliştirici Jacque Montague Raymer'ın tek başına bu sistemi yönetmesi, güvenlik protokollerinin zayıflığına işaret ediyor.
MakuluLinux kullanan kullanıcılar için acil önlemler öneriliyor. Arka kapı sürecini sonlandırmak, ilgili ikili dosyaları ve otomatik başlatma girdilerini silmek, C2 sunucusunu ve alan adlarını güvenlik duvarı veya "/etc/hosts" üzerinden engellemek, güncelleme betiklerini devre dışı bırakmak bu önlemler arasında. Ayrıca, tüm şifrelerin değiştirilmesi, SSH anahtarlarının yeniden oluşturulması ve güvenilir bir Linux dağıtımına geçiş yapılması şiddetle tavsiye ediliyor. Bu keşif, açık kaynaklı işletim sistemlerinin bile geliştirici düzeyinde kötü niyetli yazılımlar içerebileceği konusunda önemli bir uyarı niteliğinde.
Popüler bir Linux dağıtımının, geliştiricisinin kendi C2 sunucusuna bağlanan kalıcı bir arka kapı içerdiği ve ek olarak güvensiz güncelleme pratikleri sergilediği ortaya çıktı.