...wenn ich Danisch richtig interpretiere, ich zitiere mal die Stelle:

"Es geht dabei um einen sehr trickreichen Angriff, der nicht direkt am sshd stattfand, sondern über ein Kompressionsprogramm xz, genauer gesagt, dessen Programmbibliothek, in das eine Hintertür eingebaut war, die aber nur aktiviert wurde, wenn es als Teil des sshd lief und dann erlaubte, schon beim Schlüsseltausch, also lange vor der Authentifikation, Schadcode einzuschleusen.
[...]
Das nun wieder war möglich, weil der Code sehr gut getarnt war. Soweit ich das bisher gelesen habe, war die Backdoor nicht im Quelltext lesbar, sondern in Testdaten [...] war wohl eine vorcompilierte Bibliothek versteckt, die man dann eingebunden hat, weshalb die Backdoor nirgends im Quelltext auftauchte."

Der Satz von Danisch ist ziemlich verschachtelt, vielleicht verstehe ich was falsch. Mir leuchtet z.B. nicht ein, wieso in den Testdaten eine vorkompilierte Bibliothek herumliegt (vermutlich getarnt als Testdatei), das ist alles seltsam und eigentlich auffällig, würde man aber eben nicht bemerken, wenn man nur den Code durchschaut. Die lzma-Lib wird sicherlich nicht so aufmerksam überwacht, wie die ssh-Komponenten und auf die Idee, eine vermeintliche Testdatei als Bibliothek dazuzuladen, muss man auch erstmal kommen, normalerweise widmet man Testdateien nicht so viel Aufmerksamkeit, die legt man einmal an und lässt sie dann nur durchlaufen, um zu sehen, dass noch alles tut.

Nach meinem Verständnis sollten solche externen Komponenten gar nicht in sicherheitskritischer Software verwendet werden, denn sie sind natürlich die erste Wahl, um Sicherheitslücken einzubringen.