كشف باحثون أمنيون عن ظهور إطار عمل برمجيات خبيثة جديد يُعرف بـ VoidLink، متخصص في استهداف أنظمة لينكس والسحابات السحابية. يمتاز هذا البرنامج الخبيث بقدرات متقدمة للتخفي والحذف الذاتي، مما يشكل تحديًا جديدًا للأمن السيبراني في البيئات السحابية.
يُعد VoidLink تطورًا ملحوظًا في أساليب الهجوم على البنية التحتية السحابية، حيث تم بناؤه بلغة البرمجة Zig. تتيح هذه البرمجيات الخبيثة للمهاجمين تنفيذ هجمات أكثر دقة وصعوبة على الأنظمة السحابية.
VoidLink: تهديد سحابي جديد لأنظمة لينكس
يبرز VoidLink لقدرته الفائقة على التعرف على بيئات سحابية كبرى مثل AWS، GCP، Azure، Alibaba، و Tencent. وبناءً على البيئة المكتشفة، يقوم بتخصيص سلوكه ليتناسب مع كل منصة، مما يزيد من فعالية هجومه.
إضافة إلى ذلك، يمكن للبرمجيات الخبيثة اكتشاف ما إذا كانت تعمل داخل حاويات Docker أو Kubernetes، وتكييف استراتيجياتها وفقًا لذلك. هذا التكيف يمنحها مرونة عالية في التنقل والتخفي داخل البنية التحتية المستهدفة.
اكتشاف VoidLink ودافعي الهجوم
تمكن باحثون من Check Point من تحديد هذه البرمجيات الخبيثة التي كانت مجهولة سابقًا في ديسمبر 2025. جاء الاكتشاف بعد العثور على عينات تحتوي على رموز تصحيح وبيانات تطوير. توحي العينات بأنها صدرت من بيئة تطوير ناطقة بالصينية، مما يشير إلى أن الإطار لا يزال قيد التطوير النشط.
يستهدف VoidLink مهندسي البرمجيات والمسؤولين عن إدارة البنية التحتية السحابية، مما يفتح الباب أمام عمليات تجسس أو هجمات سلسلة التوريد. قد يؤدي اختراق هذه الأنظمة إلى كشف بيانات حساسة أو تعطيل خدمات حيوية.
وظائف وإمكانيات VoidLink
يشتمل الإطار على أكثر من 37 مكونًا إضافيًا (plugins) منظمة في فئات تشمل الاستكشاف، وسرقة بيانات الاعتماد، والحركة الجانبية، والمثابرة. تعمل هذه المكونات كملفات كائن (object files) يتم تحميلها أثناء التشغيل وتنفيذها مباشرة في الذاكرة.
تشبه آلية عمل المكونات الإضافية طريقة عمل Beacon Object Files في Cobalt Strike. يهدف هذا التصميم إلى تبسيط عمليات الهجوم وتمكين المهاجمين من تنفيذ مهام متنوعة بكفاءة.
يقوم VoidLink بجمع بيانات الاعتماد من البيئات السحابية وأنظمة التحكم بالإصدار مثل Git. هذا يمكن المهاجمين من الوصول إلى موارد التطوير الحساسة وأسرار البنية التحتية السحابية.
آليات التخفي والحذف الذاتي المتكيفة
يستخدم VoidLink التخفي المتكيف كآلية دفاع أساسية. عند التشغيل، يقوم بمسح للمنتجات الأمنية المثبتة وتقنيات تقوية النواة، بما في ذلك أنظمة الكشف والاستجابة لنقاط النهاية على لينكس.
بعد ذلك، يحسب درجة المخاطر للبيئة ويختار أفضل استراتيجية للتخفي. في البيئات عالية المخاطر مع المراقبة النشطة، يبطئ VoidLink عملياته وينفذ المهام بعناية لتجنب الكشف.
استراتيجيات التخفي المتقدمة
ينشر الإطار أنواعًا مختلفة من الـ rootkits بناءً على إصدار النواة المكتشف. يستخدم تقنيات LD_PRELOAD للنوى الأقدم من الإصدار 4.0. أما بالنسبة للإصدارات 5.5 وما فوق مع دعم eBPF، فيستخدم rootkits قائمة على eBPF.
بالنسبة لإصدارات النواة 4.0 وما فوق، يقوم بتثبيت وحدات النواة القابلة للتحميل (loadable kernel modules). هذه الـ rootkits تخفي العمليات، الملفات، مآخذ الشبكة، وحتى وحدات الـ rootkit نفسها عن مسؤولي النظام وأدوات الأمان.
يتضمن VoidLink كودًا ذاتي التعديل يقوم بفك تشفير المناطق المحمية أثناء التشغيل وإعادة تشفيرها عند عدم الاستخدام. تساعد هذه التقنية البرمجيات الخبيثة على التهرب من ماسحات الذاكرة التي تبحث عن أنماط تعليمات مشبوهة.
يقوم الإطار باستمرار بإجراء فحوصات سلامة وقت التشغيل للكشف عن الخطافات (hooks) والتصحيحات التي قد تقدمها الأدوات الأمنية. إذا اكتشف VoidLink أي محاولة للتلاعب أو التصحيح، يقوم فورًا بتفعيل آلية الحذف الذاتي، مزيلاً جميع آثاره من النظام المصاب، مما يمنع التحليل الجنائي.