La backdoor è piuttosto complessa. Tanto per cominciare, non la si trova nel repository GitHub di xz (anche perché è stato chiuso, ma non è questo il punto). In ciò che sembra un tentativo di evitare il rilevamento, invece di spingere le parti della backdoor nel repository...