Kár, hogy a github az egész projektet cakk-pakk letiltotta, pedig megnéztem volna hogy milyen ürüggyel mentek be a commit-ok.
A trükk, hogy az invalid tesztesetek közé dugta be az obfuszkált backdoor object kódot... elismerésem, kreatív megoldás
EDIT: itt van még élő mirror https://git.tukaani.org/?p=xz.git;a=commit;h=cf44e4b7f5dfdbf8c78aef377c10f71e274f63c0
"Many of the files have been created by hand with a hex editor, thus there is no better "source code" than the files themselves." - gyönyörű, 10 pontos megoldás. :/ Az illető (akárki is volt valójában) sajnos értette a dolgát. Későbbi commitokkal még fixálgatta is a valgrind figyelmeztetéseket...
Sajnos most tényleg az lesz a fő probléma, hogy ezen kívül még hány másik backdoor lappanghat benne.