- Автор темы
- #1
Специалисты компании Check Point сообщили, что обнаруженная ими недавно Linux-малварь VoidLink, судя по всему, была разработана одним человеком, который использовал ИИ и создал вредоноса примерно за неделю.
VoidLink представляет собой продвинутый фреймворк для заражения Linux-систем с модульной архитектурой. Малварь включает более 30 модулей, которые можно комбинировать под конкретные задачи: от скрытности и разведки до повышения привилегий и бокового перемещения по сети.
Вредонос написан на Zig, Go и C, способен определять, работает ли зараженная машина внутри популярных облачных сервисов (AWS, GCP, Azure, Alibaba, Tencent). Малварь маскирует трафик под обычную веб-активность и использует руткит-функциональность для большей скрытности.
В первом отчете эксперты отмечали, что функциональность VoidLink значительно превосходит типичные Linux-угрозы — это полноценная экосистема для долгосрочного скрытного доступа к скомпрометированным системам, особенно в облаке и контейнеризованных средах. Тогда предполагалось, что малварь создана китайскими разработчиками, «обладающими глубокими знаниями в нескольких языках программирования».
Однако на этой неделе аналитики Check Point опубликовали новый отчет, в котором пишут, что разработка вредоноса началась в конце ноября 2025 года, когда его создатель обратился за помощью к TRAE SOLO — ИИ-помощнику, встроенному в TRAE компании ByteDance (среду разработки, заточенную под работу с искусственным интеллектом).
Дело в том, что создатель вредоноса допустил множество OPSEC-ошибок, в результате которых были раскрыты исходный код, документация, планы спринтов и внутренняя структура проекта.
Хотя исследователи не получили доступ к полной истории переписки в IDE, они нашли на сервере злоумышленника вспомогательные файлы от TRAE, которые содержали ключевые фрагменты оригинальных инструкций.
Сгенерированная документация описывала проект для трех команд разработки, который должен был занять от 16 до 30 недель. Однако, судя по временным меткам и тестовым артефактам, которые нашли эксперты, VoidLink был готов уже через неделю, а к началу декабря 2025 года объем кода достиг 88 000 строк.
Подчеркивается, что исследователи убедились, что спринт-спецификации и восстановленный исходный код малвари совпадают почти на 100%. Исследователи успешно воспроизвели весь рабочий процесс и подтвердили, что ИИ-агент способен генерировать код, структурно практически идентичный VoidLink.
В Check Point заявляют, что у них практически не осталось сомнений в происхождении кода вредоноса и называют VoidLink первым задокументированным примером продвинутой малвари, которая полностью создана с помощью ИИ.
Эксперты считают, что VoidLink знаменует собой новую эру: теперь всего один разработчик малвари с хорошими техническими знаниями может достичь результатов, которые раньше были доступны только командам с немалыми ресурсами.
VoidLink представляет собой продвинутый фреймворк для заражения Linux-систем с модульной архитектурой. Малварь включает более 30 модулей, которые можно комбинировать под конкретные задачи: от скрытности и разведки до повышения привилегий и бокового перемещения по сети.
Вредонос написан на Zig, Go и C, способен определять, работает ли зараженная машина внутри популярных облачных сервисов (AWS, GCP, Azure, Alibaba, Tencent). Малварь маскирует трафик под обычную веб-активность и использует руткит-функциональность для большей скрытности.
В первом отчете эксперты отмечали, что функциональность VoidLink значительно превосходит типичные Linux-угрозы — это полноценная экосистема для долгосрочного скрытного доступа к скомпрометированным системам, особенно в облаке и контейнеризованных средах. Тогда предполагалось, что малварь создана китайскими разработчиками, «обладающими глубокими знаниями в нескольких языках программирования».
Однако на этой неделе аналитики Check Point опубликовали новый отчет, в котором пишут, что разработка вредоноса началась в конце ноября 2025 года, когда его создатель обратился за помощью к TRAE SOLO — ИИ-помощнику, встроенному в TRAE компании ByteDance (среду разработки, заточенную под работу с искусственным интеллектом).
Дело в том, что создатель вредоноса допустил множество OPSEC-ошибок, в результате которых были раскрыты исходный код, документация, планы спринтов и внутренняя структура проекта.
Хотя исследователи не получили доступ к полной истории переписки в IDE, они нашли на сервере злоумышленника вспомогательные файлы от TRAE, которые содержали ключевые фрагменты оригинальных инструкций.
Проведенный анализ показал, что создатель VoidLink использовал SDD (Spec-Driven Development), чтобы определить цели проекта и задать ограничения, а затем поручил ИИ сгенерировать план разработки для нескольких команд. План включал архитектуру, спринты и стандарты. Затем эта документация послужила основой для генерации кода с помощью ИИ.
Сгенерированная документация описывала проект для трех команд разработки, который должен был занять от 16 до 30 недель. Однако, судя по временным меткам и тестовым артефактам, которые нашли эксперты, VoidLink был готов уже через неделю, а к началу декабря 2025 года объем кода достиг 88 000 строк.
Подчеркивается, что исследователи убедились, что спринт-спецификации и восстановленный исходный код малвари совпадают почти на 100%. Исследователи успешно воспроизвели весь рабочий процесс и подтвердили, что ИИ-агент способен генерировать код, структурно практически идентичный VoidLink.
В Check Point заявляют, что у них практически не осталось сомнений в происхождении кода вредоноса и называют VoidLink первым задокументированным примером продвинутой малвари, которая полностью создана с помощью ИИ.
Эксперты считают, что VoidLink знаменует собой новую эру: теперь всего один разработчик малвари с хорошими техническими знаниями может достичь результатов, которые раньше были доступны только командам с немалыми ресурсами.