"úgy van megírva a kód, hogy csak .deb és .rpm disztrókon működjön"
Szerintem egyszerűen így adta ki. Gondolom hátulról előrefele indultak el, a végcél az ssh megszabotálása, de ne direkt függőségén keresztül, mert úgy kevésbé lesz gyanús. Rájöttek, hogy vannak disztrók amik libsystemd-n keresztül - akaratlanul - behúznak egy csomó szükségtelen tranzitív függőséget. Upstream openssh biztonsági elemzésénél ezek a libek így képbe sem kerülnek. Ezeket gondolom egytől-egyig alaposan végignézték, és megtalálták a leggyengébb láncszemet: az 1 emberes liblzma-t.
Nyilván az volt itt a koncepció, hogy a legendás Kurt Roecx nyomdokaiba lépve (csak vele ellentétben nem balfékségből, hanem szándékosan) várhatóan 1-2 évig radar alatt fog maradni a kis művészbejárójuk, és addigra már lecsorog a legtöbb a LTS és enterprise disztróba is. Óriási szerencse, hogy nem így történt. És nyilván most sok elemzés témája lesz, hogy vajon lett volna-e valami védőháló ami megfogta volna.