يركز إطار عمل البرامج الضارة لنظام التشغيل Linux المتطور المكتشف حديثًا والمسمى VoidLink على البيئات السحابية، مما يوفر للمهاجمين أدوات تحميل مخصصة وغرسات وجذور خفية ومكونات إضافية مصممة للبنى التحتية الحديثة.
تمت كتابة VoidLink بلغات Zig وGo وC، ويظهر الكود الخاص به علامات مشروع قيد التطوير النشط، مع وثائق واسعة النطاق، ومن المحتمل أن يكون مخصصًا للأغراض التجارية.
يقول محللو البرامج الضارة في شركة الأمن السيبراني Check Point إن VoidLink يمكنه تحديد ما إذا كان يعمل داخل بيئات Kubernetes أو Docker وتعديل سلوكه وفقًا لذلك.
“https://www.bleepstatic.com/c/w/wiz/MCP-Research-Guide-970×250.png” البديل=”Wiz”>
ومع ذلك، لم يتم تأكيد أي إصابات نشطة، مما يدعم الافتراض بأن البرامج الضارة قد تم إنشاؤها “either as a product offering or as a framework developed for a customer.”
لاحظ الباحثون أن VoidLink يبدو أنه تم تطويره وصيانته بواسطة مطورين ناطقين باللغة الصينية، استنادًا إلى لغة الواجهة والتحسينات.
المصدر: نقطة التفتيش
قدرات VoidLink
VoidLink هو إطار عمل معياري لمرحلة ما بعد الاستغلال لأنظمة Linux يمكّن المتسللين من التحكم في الأجهزة المخترقة مع البقاء مخفيين، وتوسيع الوظائف باستخدام المكونات الإضافية، وتكييف السلوك مع بيئات سحابية وحاويات محددة.
بمجرد تنشيط عملية الزرع، فإنها تتحقق مما إذا كانت تعمل في Docker أو Kubernetes، وتستعلم عن البيانات الوصفية لمثيل السحابة لموفري الخدمات مثل AWS وGCP وAzure وAlibaba وTencent، مع خطط لإضافة Huawei وDigitalOcean وVultr.
يجمع إطار العمل تفاصيل النظام مثل إصدار kernel، وبرنامج Hypervisor، والعمليات، وحالة الشبكة، ويقوم بالمسح بحثًا عن EDRs، وتقوية kernel، وأدوات المراقبة.
يتم تسليم جميع المعلومات ودرجة المخاطر المحسوبة بناءً على حلول الأمان المثبتة وإجراءات التعزيز إلى المشغل، مما يسمح له بضبط سلوك الوحدة، مثل فحص المنافذ الأبطأ والفواصل الزمنية الأطول للإشارات.
تتواصل البرمجية المزروعة مع المشغل باستخدام بروتوكولات متعددة (HTTP، وWebSocket، وDNS Tunneling، وICMP)، مغلفة في طبقة رسائل مشفرة مخصصة تسمى “VoidStream”، والتي تعمل على تمويه حركة المرور لتشبه نشاط الويب أو واجهة برمجة التطبيقات (API) العادي.
المصدر: نقطة التفتيش
المكونات الإضافية لـ VoidLink هي ملفات كائنات ELF يتم تحميلها مباشرة في الذاكرة وتستدعي واجهات برمجة تطبيقات إطار العمل عبر مكالمات النظام.
وفق”https://research.checkpoint.com/2026/voidlink-the-cloud-native-malware-framework/” الهدف=”_blank” rel=”nofollow noopener”> فحص تحليل بوينتتستخدم إصدارات VoidLink الحالية 35 مكونًا إضافيًا في التكوين الافتراضي:
- الاستطلاع (النظام، المستخدمون، العمليات، الشبكة)
- تعداد السحابة والحاويات ومساعدي الهروب
- جمع بيانات الاعتماد (مفاتيح SSH، وبيانات اعتماد Git، والرموز المميزة، ومفاتيح API، وبيانات المتصفح)
- الحركة الجانبية (القذائف، وإعادة توجيه المنافذ والأنفاق، والنشر القائم على SSH)
- آليات الثبات (إساءة استخدام الرابط الديناميكي، وظائف cron، خدمات النظام)
- مكافحة الطب الشرعي (مسح السجل، وتنظيف التاريخ، والتوقيت الزمني)
المصدر: نقطة التفتيش
ولضمان بقاء هذه العمليات غير مكتشفة، يستخدم VoidLink مجموعة من وحدات rootkit التي تخفي العمليات أو الملفات أو مآخذ الشبكة أو rootkit نفسه.
اعتمادًا على إصدار kernel الخاص بالمضيف، يستخدم إطار العمل LD_PRELOAD (الإصدارات الأقدم)، أو LKMs (وحدات kernel القابلة للتحميل)، أو rootkits المستندة إلى eBPF.
بالإضافة إلى ذلك، يمكن لـ VoidLink اكتشاف مصححات الأخطاء في البيئة، ويستخدم تشفير التعليمات البرمجية في وقت التشغيل، ويقوم بإجراء فحوصات التكامل للكشف عن الخطافات والتلاعب، وكلها آليات متقدمة لمكافحة التحليل.
في حالة اكتشاف التلاعب، تقوم الغرسة بالحذف الذاتي، وتقوم وحدات مكافحة الطب الشرعي بمسح السجلات، وسجل الصدفة، وسجلات تسجيل الدخول، والكتابة بشكل آمن فوق جميع الملفات التي تم إسقاطها على المضيف، مما يقلل من التعرض لتحقيقات الطب الشرعي.
يقول باحثو Check Point أن VoidLink تم تطويره مع وضع التخفي في الاعتبار “aims to automate evasion as much as possible” من خلال تحديد ملامح البيئة المستهدفة بدقة قبل اختيار أفضل استراتيجية.
وأشاروا إلى أن الإطار الجديد “is far more advanced than typical Linux malware” وهو عمل المطورين مع “a high level of technical expertise” وماهر جدًا في لغات البرمجة المتعددة.
“The sheer number of features and its modular architecture show that the authors intended to create a sophisticated, modern and feature-rich framework,” يقول الباحثون.
يوفر Check Point في”https://research.checkpoint.com/2026/voidlink-the-cloud-native-malware-framework/” الهدف=”_blank” rel=”nofollow noopener”> تقرير اليوم مجموعة من مؤشرات التسوية بالإضافة إلى التفاصيل الفنية حول الوحدات وقائمة بالمكونات الإضافية المكتشفة.
معيار ميزانية CISO لعام 2026
إنه موسم الميزانية! شارك أكثر من 300 من كبار مسؤولي أمن المعلومات وقادة الأمن كيفية التخطيط والإنفاق وتحديد الأولويات للعام المقبل. يجمع هذا التقرير رؤاهم، مما يسمح للقراء بقياس الاستراتيجيات، وتحديد الاتجاهات الناشئة، ومقارنة أولوياتهم مع توجههم إلى عام 2026.
تعرف على كيفية قيام كبار القادة بتحويل الاستثمار إلى تأثير قابل للقياس.