Netcrook Logo
👤 KERNELWATCHER
🗓️ 13 Jan 2026   🌍 Asia

شفرة الظل في السحابة: داخل VoidLink، البرمجية الخبيثة المتخفية التي تعيد تعريف تجسّس لينكس

إطار برمجي خبيث جديد مرتبط بالصين، يُدعى VoidLink، يشير إلى قفزة خطيرة في التهديدات السيبرانية السحابية الأصلية التي تستهدف أنظمة لينكس بتخفٍّ وقدرة تكيّف غير مسبوقين.

في سباق التسلّح المتصاعد باستمرار بين المدافعين السيبرانيين والمهاجمين، ظهر لاعب جديد من ظلال العالم الرقمي. يحمل اسم “VoidLink”، وهذا الإطار المتقدم للبرمجيات الخبيثة يعيد كتابة قواعد أمن السحابة ولينكس، مُزوّدًا جهات التهديد بعدّة أدوات بقدر ما هي معيارية بقدر ما هي مراوغة. اكتشفه باحثون أمنيون في أواخر عام 2025، وVoidLink ليس مجرد برمجية خبيثة أخرى - بل نذير عصر جديد من التجسّس السيبراني، حيث أصبحت بيئات السحابة والأنظمة المُحَوْسَبة بالحاويات هي خط المواجهة.

تبدو درجة تعقيد VoidLink واضحة على الفور. كُتب في الغالب بلغة البرمجة Zig، مع عناصر في Go وC وأطر ويب حديثة، وتعكس بنيته مرونة مجموعات أدوات الاختراق التجارية مثل Cobalt Strike. وفي قلبه واجهة برمجة تطبيقات مخصصة للإضافات (Plugin API)، تدعم أكثر من 30 وحدة لكل شيء بدءًا من حصاد بيانات الاعتماد وصولًا إلى الحركة الجانبية ومكافحة الأدلة الجنائية. وهذا يعني أن المهاجمين يستطيعون تفصيل عملياتهم وفق البيئة المحددة التي اخترقوها - سواء كانت حاوية Docker واحدة أو عنقود Kubernetes مترامي الأطراف.

التركيز السحابي الأصلي للبرمجية الخبيثة مثير للقلق على نحو خاص. يستطيع VoidLink اكتشاف ما إذا كان يعمل تلقائيًا على منصات كبرى مثل AWS وGoogle Cloud وAzure وAlibaba أو Tencent. ثم يكيّف تكتيكاته وفقًا لذلك، جامعًا بيانات الاعتماد، ومُجسًّا حالات سوء الإعداد، وباحثًا عن وصول ذي امتيازات. وبالنسبة للمؤسسات التي تعتمد على البنية التحتية السحابية، فإن هذا يمثل تهديدًا مباشرًا لقلب عملياتها.

لكن الخطر الحقيقي لـ VoidLink يكمن في تخفّيه. إذ إنه مزوّد بطبقات متعددة من تقنيات مقاومة التحليل، ويمكنه تشفير شفرته الخاصة أثناء التشغيل، وإخفاء عملياته باستخدام تقنيات روتكِت متقدمة، ومحو آثاره الرقمية - بما في ذلك سجلات الأوامر وسجلات النظام - عند أول إشارة إلى اكتشافه. وإذا استشعر العبث أو مراقبة أمنية، فإن VoidLink لا يختفي فحسب؛ بل يدمّر الأدلة بشكل منهجي، مستبدلًا الملفات ببيانات عشوائية ومزيلًا فتات الأدلة الجنائية.

يتحكم المشغّلون في VoidLink عبر لوحة تحكم ويب باللغة الصينية، يديرون من خلالها كل مرحلة من مراحل الهجوم: الاستطلاع، وترسيخ البقاء، والحركة الجانبية، وتدمير الأدلة. وتضم لوحة التحكم حتى قسمًا للبناء لإنشاء نسخ مخصصة من البرمجية الخبيثة فورًا - ما يجعل VoidLink ليس مجرد تهديد، بل منصة محتملة لـ«الجريمة السيبرانية كخدمة».

لم يرصد محللو الأمن بعد إصابات في العالم الحقيقي، لكن نضج الإطار وتعقيده يوحيان بأنها مسألة وقت فقط قبل إطلاق VoidLink على بيئات سحابية غير متوقعة. وبالنسبة للمدافعين، فهي دعوة للاستيقاظ: لقد تطور مشهد تهديدات لينكس، ولم تعد السحابة ملاذًا آمنًا.

ومع اندفاع العالم الرقمي نحو اعتماد أكبر فأكبر على الحوسبة السحابية، يأتي VoidLink كتذكير مخيف بأن المهاجمين يتطورون بالسرعة نفسها. لن تُخاض المعارك السيبرانية الكبرى القادمة على أجهزة سطح المكتب - بل ستُشن في الامتداد غير المرئي للسحابة، حيث تُعدّ أدوات مثل VoidLink الأرض بالفعل.

WIKICROOK

  • روتكِت: الروتكِت برمجية خبيثة متخفية تُخفي نفسها على جهاز ما، ما يسمح للمهاجمين بالتحكم بالنظام سرًا وتفادي الاكتشاف.
  • حاوية: الحاوية حزمة برمجية محمولة تتضمن الشفرة وجميع الاعتماديات، ما يتيح نشرًا سريعًا لكنه يتطلب إدارة أمنية دقيقة.
  • أمر: الأمر هو تعليمات تُرسل إلى جهاز أو برنامج، غالبًا بواسطة خادم C2، لتوجيهه لتنفيذ إجراءات محددة، أحيانًا لأغراض خبيثة.
  • حصاد بيانات الاعتماد: حصاد بيانات الاعتماد هو سرقة تفاصيل تسجيل الدخول، مثل أسماء المستخدمين وكلمات المرور، غالبًا عبر مواقع مزيفة أو رسائل بريد إلكتروني خادعة.
  • مضاد: يشير مصطلح «مضاد» إلى الأساليب التي تستخدمها البرمجيات الخبيثة لتجنب الاكتشاف أو التحليل بواسطة أدوات الأمن والباحثين، ما يجعل التهديدات أصعب دراسةً أو إيقافًا.
VoidLink Linux malware cloud security
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news