Muito bem explicado rafael! Segundo a tabela na matéria, uma das versões do Kali Linux também não "escapou" :\

De acordo com uma das citações nos comentários:

"This developer persona has touched dozens of other pieces of open-source software in the past few years.". Well, I guess the Opensource community have some codes to review. Maybe the xz incident is only the tips of the iceberg."

Vejo que é um fato relevante e a impressão que passa, pelas evidências que estão surgindo, é que o "projeto" foi colocado em prática usando um pouco de engenharia social com a escalada paciente de privilégios na cadeia de confiança de desenvolvimento de uma das libs utilizadas pelo sshd. Esta aplicação geralmente tem outras dependências se compilada, por exemplo, sem ligação dinâmica. Uma listagem das dependências pode ser obtida pelo comando ldd.