У вас в Docker кто-то поселился. И он, кажется, говорит по-китайски
NewsMakerРассказываем о VoidLink: модульном вирусе, который живёт в памяти и крадёт ключи из облака.
В декабре 2025 года специалисты Check Point обнаружили новый вредоносный инструмент, разработанный для незаметной и длительной работы в облачных инфраструктурах на базе Linux. Многофункциональный фреймворк получил название VoidLink. Он ориентирован на эксплуатацию контейнеризированных сред и способен приспосабливаться к различным задачам, поддерживая динамическое расширение возможностей с помощью встроенной системы модулей.
VoidLink изначально создавался с расчётом на облачные сервисы. Он легко распознаёт, в какой среде запущен — будь то Docker, Kubernetes или конкретные облачные платформы, включая AWS, Google Cloud, Azure, а также сервисы китайских провайдеров Alibaba и Tencent. Инструмент может собирать данные об учётных записях в облаке и в популярных системах управления исходным кодом, таких как Git.
Создателем вредоносного фреймворка, по мнению экспертов Check Point, является кибергруппировка, связанная с Китаем . Внутренняя архитектура VoidLink отличается гибкостью и ориентирована на длительное присутствие в системе. Центральным элементом является собственный API для модулей, вдохновлённый принципами Beacon Object Files от Cobalt Strike. На момент анализа фреймворк включал более 30 плагинов, активируемых по необходимости.
Набор функций указывает на нацеленность на разработчиков программного обеспечения — вероятно, с целью кражи данных или дальнейшего компрометирования цепочек поставок. Поддерживается сбор информации об инфраструктуре, извлечение учётных данных, распространение внутри сети и устойчивое закрепление в системе.
В декабре 2025 года специалисты Check Point обнаружили новый вредоносный инструмент, разработанный для незаметной и длительной работы в облачных инфраструктурах на базе Linux. Многофункциональный фреймворк получил название VoidLink. Он ориентирован на эксплуатацию контейнеризированных сред и способен приспосабливаться к различным задачам, поддерживая динамическое расширение возможностей с помощью встроенной системы модулей.
VoidLink изначально создавался с расчётом на облачные сервисы. Он легко распознаёт, в какой среде запущен — будь то Docker, Kubernetes или конкретные облачные платформы, включая AWS, Google Cloud, Azure, а также сервисы китайских провайдеров Alibaba и Tencent. Инструмент может собирать данные об учётных записях в облаке и в популярных системах управления исходным кодом, таких как Git.
Создателем вредоносного фреймворка, по мнению экспертов Check Point, является кибергруппировка, связанная с Китаем . Внутренняя архитектура VoidLink отличается гибкостью и ориентирована на длительное присутствие в системе. Центральным элементом является собственный API для модулей, вдохновлённый принципами Beacon Object Files от Cobalt Strike. На момент анализа фреймворк включал более 30 плагинов, активируемых по необходимости.
Набор функций указывает на нацеленность на разработчиков программного обеспечения — вероятно, с целью кражи данных или дальнейшего компрометирования цепочек поставок. Поддерживается сбор информации об инфраструктуре, извлечение учётных данных, распространение внутри сети и устойчивое закрепление в системе.