Pesquisadores identificaram o VoidLink, um novo framework de malware nativo à nuvem e desenvolvido para se infiltrar de forma silenciosa em infraestruturas digitais Linux. O VoidLink é um malware “cloud-first”, escrito na linguagem Zig e criado para operar diretamente em infraestruturas modernas.
Ele é capaz de reconhecer os principais ambientes de nuvem e identificar se está sendo executado em plataformas como Kubernetes ou Docker, ajustando seu comportamento conforme o contexto. O malware inclui capacidades semelhantes às de rootkits, um sistema de plugins em memória que permite expandir funções e mecanismos de ocultação adaptativos.
O VoidLink coleta credenciais associadas a ambientes em nuvem e a sistemas de controle de versão de código-fonte, como o Git, o que indica que desenvolvedores de software podem estar entre os alvos, seja para fins de espionagem ou para possíveis ataques futuros à cadeia de suprimentos. Garantindo acesso persistente aos sistemas em nuvem, o VoidLink possui mais de 30 plugins e permite adicionar novas capacidades sem a necessidade de reinstalar o malware principal.
Para lutar contra ameaças desse tipo, é necessário estender uma abordagem de prevenção em primeiro lugar para ambientes de nuvem e Linux, com visibilidade contínua, inteligência de ameaças em tempo real e proteções desenvolvidas especificamente para ambientes em nuvem.
