Эксперты Check Point нашли вредонос VoidLink для Linux в облаке: он крадет токены и секреты в AWS, Azure и Kubernetes

Специалисты Check Point Research сообщили о находке, которая заставляет насторожиться всех, кто работает с Linux в облаке. Речь идет о ранее неизвестном фреймворке вредоносного ПО под названием VoidLink. По сути, это не «одна программа», а целая платформа, рассчитанная на длительную и скрытную работу в чужой инфраструктуре.

В отчете CPR подчеркивается, что VoidLink выглядит как полноценная C2-система: в наборе есть загрузчики, имплантаты, руткиты и свыше 30 модульных плагинов. Такой арсенал нужен не для разовой атаки, а для того, чтобы закрепиться в системе и сохранять контроль над ней максимально долго. При этом разработка, судя по данным исследователей, велась совсем недавно и датируется концом 2025 года.

Отдельный акцент сделан на «облачной» специализации. После развертывания вредонос проверяет, где именно он оказался: AWS, Azure, GCP, Alibaba или Tencent Cloud. Дополнительно он выясняет, не запущен ли внутри Docker-контейнеров или в среде Kubernetes. Дальше поведение подстраивается под условия: собираются облачные метаданные, API-учетные данные, Git-данные, токены и различные секреты. Логично предположить, что в прицеле находятся DevOps-инженеры и администраторы облачных платформ.

VoidLink старается не шуметь. Он профилирует хост, ищет средства защиты и рассчитывает «оценку риска», после чего решает, действовать ли активно или максимально тихо. На одних системах он может сканировать порты и сетевые соединения, на других — отказаться от этого, если защита выглядит серьезной.

При этом CPR не видит подтверждений, что фреймворк уже применяют «в дикой природе». Это может означать либо стадию доводки перед продажей/арендой, либо разработку под конкретного, хорошо оплачиваемого заказчика. Исследователи считают, что авторы — китайцы и, вероятнее всего, связаны с государственными структурами. Если так, то назначение проекта очевидно: кибершпионаж, кража данных и обеспечение постоянного доступа. Check Point резюмирует просто: масштаб функций и модульная архитектура выдают намерение создать сложный, современный и многофункциональный инструмент. Алексей Заболотских