اكتشف باحثو الأمن في Check Point برمجية VoidLink، وهو إطار برمجيات خبيثة جديد متقدم لـ Linux مصمم لاستهداف بنى السحابة. مكتوب بلغة Zig ومرتبط بمطورين صينيين، يحتوي على أكثر من 30 إضافة للاستطلاع السري، سرقة البيانات الاعتمادية، والحركة الجانبية. لم يُلاحظ بعد أي عدوى حقيقية، لكن قدراته تشير إلى تهديد متنامٍ للبيئات السحابية المؤسسية.
في أواخر عام 2025، حددت Check Point Research عينات من VoidLink على VirusTotal، وهو إطار برمجيات خبيثة غير مسبوق مكتوب بلغة البرمجة Zig. تشير العينات، التي تشمل آثار التطوير مثل رموز التصحيح، إلى أداة قيد التطوير بدلاً من سلاح منشور بالكامل. يُشار إليه داخليًا باسم VoidLink من قبل مبدعيه، ويبدو أن الإطار ينبع من بيئة تطوير تابعة للصين، مع واجهة قيادة وسيطرة محلية للمشغلين الصينيين. VoidLink مصمم خصيصًا لبيئات السحابة القائمة على Linux، حيث يقوم بفحص تلقائي للمزودين الرئيسيين مثل AWS وGoogle Cloud Platform وMicrosoft Azure وAlibaba وTencent عند الإصابة. يخطط المطورون لتوسيع الكشف إلى Huawei وDigitalOcean وVultr. يمثل هذا النهج الأول للسحابة تحولًا، حيث تعتمد الأهداف ذات القيمة العالية مثل الوكالات الحكومية والمؤسسات بشكل متزايد على هذه المنصات للعمليات الحساسة. تبرز العمارة الوحدية للبرمجية الخبيثة، مع ما لا يقل عن 37 إضافة منظمة حسب الفئة. تمكن هذه الإضافات من مجموعة من الأنشطة: الاستطلاع لتحليل النظام وخرائط الشبكة؛ اكتشاف Kubernetes وDocker مع أدوات تصعيد الامتيازات والهروب من الحاويات؛ سرقة البيانات الاعتمادية المستهدفة لمفاتيح SSH واعتمادات Git ومفاتيح API وبيانات المتصفح؛ ميزات ما بعد الاستغلال مثل الصدف وإعادة توجيه المنافذ ودودة قائمة على SSH للانتشار الجانبي؛ آليات الاستمرارية؛ ووحدات مكافحة الطبيب الشرعي لمسح السجلات وحذف الذات عند اكتشاف التلاعب أو التحليل. يصف Check Point VoidLink بأنه «أكثر تقدمًا بكثير من البرمجيات الخبيثة النموذجية لـ Linux»، مع محملات مخصصة وزرعات وروتكيتات على مستوى النواة تخفي العمليات والملفات ونشاط الشبكة، وAPI مخصص مستوحى من Beacon في Cobalt Strike. يحسب «درجة مخاطرة» لتكييف السلوك في البيئات المراقبة، متنكرًا حركة C2 كنداءات ويب أو API شرعية. يركز الإطار على الوصول طويل الأمد والمراقبة وجمع البيانات على التعطيل، مما يشير إلى التحضير للاستخدام المهني من قبل فاعلين مدعومين من الدولة أو مدفوعين ماليًا. بينما لا توجد أدلة على عدوى برية، يحذر الخبراء من أن تطور VoidLink يرفع المخاطر على المدافعين. يُحث المنظمات على تعزيز مراقبة نشرات Linux في السحابة، مع التركيز على أمن التشغيل في الوقت الفعلي وتدقيق الإعدادات لمواجهة مثل هذه التهديدات المتطورة.
