Seria włamań w internecie nie ma końca, dotknęła także serwerów przechowujących i dystrybuujących kod Linuksa. Skuteczny atak miał miejsce prawdopodobnie 12 sierpnia, zmiany w systemach zostały wykryte dopiero 28 sierpnia. Włamywaczom udało się uzyskać dostęp do kont z uprawnieniami superużytkownika. Zmodyfikowano pliki związane z SSH, wprowadzono trojana do plików startowych systemów. Logowano również poczynania użytkowników korzystających z serwerów.
Trojan został wykryty poprzez komunikat o błędzie Xnest związanego z /dev/mem na maszynach bez zainstalowanego Xnesta. Okazuje się również, że wydanie kernela w wersji 3.1-rc2 mogło zablokować kod wprowadzający zmiany w repozytorium. Póki co nie wiadomo czy było to działanie zamierzone, efekt uboczny, czy kolejna łatka.
Wszystkie serwery na których wykryto ślady włamania zostały wyłączone z infrastruktury w celu stworzenia backupów oraz wykonania kompletnej reinstalacji systemu. Podobny proces przejdą wszystkie komputery działające w ramach kernel.org. Trwa proces odnawiania danych dostępowych dla wszystkich 448 użytkowników kernel.org. Odpowiednie służby w USA i Europie zostały poinformowane o włamaniu i poproszone o pomoc w dochodzeniu.
Trwają analizy kodu w repozytorium oraz paczek, mające potwierdzić brak niebezpiecznych modyfikacji. Najprawdopodobniej jednak dzięki systemowi kontroli wersji Git w repozytoriach, w których każdy z ponad 40 tys. plików jest zabezpieczony za pomocą kryptograficznej funkcji skrótu SHA-1 i znajduje się na maszynach tysięcy deweloperów jądra nie doszło do żadnych szkód.
