بروز VoidLink يغير قواعد لعبة برمجيات التروجان الخبيثة في بيئات لينكس السحابية، حيث يمثل هذا الإطار المتقدم حداثة disruptive في تصميم وهجمات برمجيات التروجان الخبيثة.
تم اكتشاف VoidLink، وهو إطار عمل برمجيات خبيثة جديد تم تطويره في الصين، لأول مرة من قبل باحثي Check Point Research في 13 يناير 2026. يمثل هذا الاكتشاف نقطة تحول مهمة في طريقة استهداف البيئات السحابية التي تعمل بنظام لينكس.
في حين أن برمجيات التروجان الخبيثة التقليدية غالباً ما تواجه صعوبة في التوافق مع الإصدارات المختلفة من نواة لينكس، فإن VoidLink يعتمد على بنية مبتكرة تتغلب على هذه القيود التقنية التي طالما واجهت المهاجمين.
تعتمد عملية انتشار برمجيات التروجان الخبيثة على VoidLink على مراحل متعددة مصممة بعناية لتقليل فرص الكشف. تبدأ الهجمات ببرنامج تنفيذي صغير مكتوب بلغة البرمجة Zig، والذي يقوم بإنشاء اتصال مع خوادم التحكم والقيادة (C2).
بمجرد إنشاء الاتصال، يقوم VoidLink بتحميل مكونات أكبر إلى الذاكرة كلياً دون لمس القرص الصلب. هذا الأسلوب يجعل اكتشافه صعباً للغاية بالنسبة لطرق الفحص التقليدية للملفات.
VoidLink: تقنيات متطورة لتجاوز الدفاعات
حدد محللو Sysdig الميزات المتطورة لبرمجيات التروجان الخبيثة بعد فحص ملفاتها التنفيذية بالتفصيل. كشف فريق البحث أن VoidLink يدمج تقنيات متعددة للتخفي مصممة خصيصاً للكشف وتجنب منتجات الأمان الرئيسية من موردين مثل CrowdStrike و SentinelOne و Carbon Black.
عند اكتشاف أدوات الأمان على نظام ما، يقوم VoidLink تلقائياً بتعديل سلوكه ليصبح أقل وضوحاً. هذا يعني أن البرنامج يغير طريقة عمله بشكل أساسي بناءً على البيئة التي يتواجد فيها.
يظهر الإطار التقنيات الصينية المتقدمة، والتي يبدو أنها مدعومة بالمساعدة من الذكاء الاصطناعي في عملية التطوير. تظهر التعليقات التقنية داخل شفرة برمجيات التروجان الخبيثة باللغة الصينية الأصلية، وتعكس فهماً عميقاً لتطوير نواة النظام.
في المقابل، تشير بعض أجزاء الشفرة إلى أن مطوريها استخدموا نماذج لغوية كبيرة لتسريع مهام معينة أثناء التطوير، مع الحفاظ على السيطرة الكاملة على البنية والميزات الأمنية.
الاستجابة التكيفية للكشف: نظرة أعمق
السمة الأكثر تميزاً لـ VoidLink هي قدرته على التعرف على أدوات الأمان والاستجابة لها في الوقت الفعلي. يقوم البرنامج بفحص العمليات قيد التشغيل ومسارات نظام الملفات بحثاً عن علامات برامج حماية نقاط النهاية.
عند اكتشاف منتجات مثل CrowdStrike Falcon أو SentinelOne، يدخل VoidLink في “وضع الهوس”، مما يغير بشكل جذري أنماط اتصاله. أثناء العمليات العادية، يتصل بخادم الأوامر كل 4096 مللي ثانية، ولكن عند وجود منتجات أمان، يمدد هذه الفواصل الزمنية إلى 5000 مللي ثانية ويزيد من عشوائيتها.
هذه المقاربة تقلل بشكل كبير من فرص الكشف، حيث تجعل نشاط الشبكة الخاص ببرمجيات التروجان الخبيثة يمتزج بشكل أكثر سلاسة مع أنماط حركة المرور المشروعة.
يتضمن الإطار أيضاً قدرات تخفي متقدمة لأدوات التحليل الديناميكي. يبحث VoidLink عن مجموعة أدوات Frida الخاصة بالتنسيق عن طريق البحث عن أسماء عمليات محددة ومسح مناطق الذاكرة بحثاً عن مكتبات Frida. كما أنه يكتشف أدوات التصحيح مثل GDB عن طريق فحص ملفات حالة النظام التي تكشف عما إذا كانت أداة تصحيح معينة متصلة حالياً بالعملية.
يوضح هذا النهج المتعدد الطبقات للكشف وعياً دفاعياً متطوراً، مما يجعل الهندسة العكسية والتحليل أكثر تحدياً لباحثي الأمان.