كشف تقرير حديث عن إطار عمل جديد للبرمجيات الخبيثة السحابية يسمى “VoidLink”، والذي يمثل نقلة نوعية في أساليب الهجوم السيبراني. تستهدف هذه الأداة المتقدمة بشكل خاص البيئات السحابية المبنية على أنظمة لينكس، بما في ذلك منصات مثل Kubernetes وAI workloads، مما يثير قلقاً متزايداً لدى المؤسسات التي تعتمد بشكل كبير على البنية التحتية السحابية الحديثة. تم تطوير VoidLink مع التركيز على التخفي وطول العمر وجمع البيانات، مما يجعله تهديداً فريداً ومعقداً.
تم اكتشاف VoidLink لأول مرة في ديسمبر 2025، وقد أثار اهتمام الخبراء نظراً لطريقة بنائه المبتكرة. على عكس العديد من البرمجيات الخبيثة التي يتم تكييفها من أدوات قديمة، تم تصميم VoidLink من الصفر خصيصاً للعمل في بيئات الحوسبة السحابية والحاويات الحديثة، والتي غالباً ما تكون مبنية على أنظمة تشغيل لينكس. هذا النهج يعكس تغيراً واضحاً في طريقة تفكير المهاجمين، حيث يتجهون بشكل مباشر نحو قلب البنية التحتية للمؤسسات الحديثة بدلاً من استهداف نقاط النهاية التقليدية.
VoidLink: تهديد متطور يستهدف البنية التحتية السحابية
يتميز VoidLink بكونه ليس مجرد برمجية خبيثة عشوائية، بل تم تصميمه بعناية فائقة لتحقيق التخفي والبقاء لفترات طويلة وجمع أكبر قدر ممكن من المعلومات. بمجرد دخوله إلى النظام المستهدف، يمكنه تحديد المنصة السحابية الرئيسية التي يعمل عليها، مثل AWS، GCP، Azure، Alibaba، أو Tencent، وكذلك تحديد ما إذا كان يعمل داخل حاوية Docker أو pod في Kubernetes. وبناءً على ذلك، يقوم بتكييف سلوكه.
في البيئات التي تتمتع بمراقبة أمنية قوية، يقلل VoidLink من سرعة عمله للبقاء متخفياً. ومن جهة أخرى، في البيئات الأقل أمناً، يعمل بحرية تامة، حيث يقوم بجمع بيانات التعريف السحابية، وبيانات اعتماد واجهات برمجة التطبيقات (API)، ورموز Git، وأسرار أخرى حساسة دون إثارة أي إنذارات.
الاستهداف الدقيق للبيئات السحابية
وفقاً لمحللي Cisco Talos، فإن جهة فاعلة متقدمة في التهديدات كانت تراقبها تستخدم VoidLink بنشاط في حملات واقعية، مستهدفة بشكل أساسي المؤسسات التكنولوجية والمالية. غالباً ما يتمكن المهاجم من الوصول إلى الأنظمة من خلال بيانات اعتماد تم الحصول عليها مسبقاً أو عن طريق استغلال الخدمات المؤس