Комплексен VoidLink Linux малициозен софтвер создаден со помош на AI

Истражувачите велат дека напредната рамка била изградена речиси целосно од агенти, што означува значајна еволуција во користењето на вештачката интелигенција за развој на целосно оригинален малициозен софтвер.

Напредна cloud-first рамка за малициозен софтвер што таргетира Linux системи е создадена речиси целосно со помош на вештачка интелигенција (AI), чекор што сигнализира значајна еволуција во употребата на оваа технологија за развој на напреден малициозен софтвер.

VoidLink — составен од различни cloud-ориентирани способности и модули и дизајниран да одржува долгорочен, постојан пристап до Linux системи — е првиот случај на целосно оригинален малициозен софтвер развиен од AI, според Check Point Research, кој ја откри и детално ја опиша рамката минатата недела. Иако постои и друг AI-генериран малициозен софтвер, тој најчесто бил „поврзан со неискусни актери на закани, како во случајот со FunkSec, или со малициозен софтвер кој во голема мера ја пресликувал функционалноста на постоечки open-source алатки,“ според дополнителен блог-пост објавен во вторник од Check Point. Навистина, друг AI-генериран малициозен софтвер го вклучува и криптомајнерот Koske, кој имал други мајнери од кои можел да се моделира.

Но, истражувачите од Check Point биле импресионирани од „нивото на зрелост, високата функционалност, ефикасната архитектура и флексибилниот, динамичен оперативен модел“ на VoidLink. Откако откриле дека рамката е претежно AI-генерирана, Check Point сега алармира за тоа што вешти развивачи на малициозен софтвер можат да постигнат со AI алатки, според објавата.
„Овој случај ги истакнува опасностите од тоа како AI може да му овозможи на еден единствен актер да планира, гради и итерира комплексни системи со брзина која претходно бараше координирани тимови, на крај нормализирајќи напади со висока комплексност кои порано потекнуваа само од актери со големи ресурси,“ напиша Check Point.

Истрагата на Check Point исто така обезбеди уникатен увид зад сцената во развојот на нов Linux малициозен софтвер и улогата што AI ја одиграла во тој процес, како и поглед во начинот на размислување на развивачите зад оваа комплексна нова закана.

OPSEC пропусти ги откриваат AI корените на VoidLink

Рамката за малициозен софтвер, поврзана со сомнителен, неспецифициран кинески актер, вклучува сопствени loader-и, импланти, rootkit-и и модуларни plug-in додатоци. Таа исто така максимално ја автоматизира евазијата преку профилирање на Linux околината и интелигентен избор на најдобра стратегија за работа без детекција.

Навистина, додека истражувачите од Check Point го следеле VoidLink во реално време, тие гледале како брзо се трансформира од нешто што изгледало како функционална развојна верзија во сеопфатна, модуларна рамка што станала целосно оперативна за краток временски период.
Сепак, иако самиот малициозен софтвер бил високо функционален од самиот почеток, неговиот креатор се покажал како донекаде невнимателен во извршувањето. Тоа е затоа што истражувачите успеале да ја проследат трагата на развојот на VoidLink назад до неговите AI корени преку серија пропусти во оперативната безбедност (OPSEC) на развивачот, кои откриле развојни артефакти. Овие артефакти сугерирале дека развивачот следел одреден шаблон во процесот на креирање: дефинирање на проектот врз основа на општи насоки и постоечка кодна база; користење на AI сервисот за да ги претвори тие насоки во архитектура и да изгради план преку три одделни тимови со детални упатства и ограничувања за кодирање; и конечно, стартување на агентот за да ја изврши имплементацијата.

„Овие материјали обезбедуваат јасен доказ дека малициозниот софтвер бил произведен претежно преку AI-воден развој, достигнувајќи прв функционален имплант за помалку од една недела,“ се наведува во објавата.

Градење на VoidLink со TRAE SOLO

Check Point го откри VoidLink преку кластер од претходно невидени и незрели Linux примероци на малициозен софтвер во декември, но верува дека неговиот развој веројатно започнал кон крајот на ноември 2025 година. Развивачите користеле TRAE SOLO, AI асистент вграден во TRAE, AI-центрично интегрирано развојно опкружување (IDE).

Истражувачите од Check Point имале увид во помошни датотеки кои зачувале клучни делови од оригиналните насоки дадени на моделот, а кои изгледале како да биле копирани заедно со изворниот код на малициозниот софтвер на серверот на актерот на закани. Тие подоцна се појавиле поради отворен изложен директориум, што им дало „невообичаено директна видливост во најраните директиви на проектот,“ според Check Point.

Во овој случај, TRAE генерирал документ со инструкции на кинески јазик кој сугерирал дека почетната директива не била директно да се изгради VoidLink, туку да се дизајнира околу тенка скелетна структура и да се изработи конкретен план за извршување со цел да се претвори во функционална платформа.

„Останува нејасно дали овој пристап бил чисто прагматичен, со цел да се направи процесот поефикасен, или намерна ‘jailbreak’ стратегија за да се заобиколат заштитните механизми рано и да се овозможи целосен end-to-end развој на малициозен софтвер подоцна,“ според Check Point.

Истражувачите исто така откриле интерни плански материјали напишани на кинески и сервирани како Markdown датотеки кои „ги носат сите белези на голем јазичен модел (LLM): високо структурирани, конзистентно форматирани и исклучително детални.“ Документите исто така вклучувале распоред, поделба на функционалности, упатства за кодирање и други докази дека развојот на VoidLink бил поделен по одговорности меѓу три одделни развојни тимови.

Иднината на AI-генерираниот малициозен софтвер е веќе тука

Не треба да биде изненадување за бранителите дека AI станала „мултипликатор на сила“ за малициозните актери, според Check Point. Сепак, досега AI-водената активност била дело на несофистицирани операции и помалку искусни актери. VoidLink „ја поместува таа основа“ и демонстрира како актерите на закани можат да ја зголемат брзината и обемот со кои развиваат малициозен софтвер и се вклучуваат во злонамерна активност, велат од Check Point.
„Иако не станува збор за целосно AI-оркестриран напад, VoidLink покажува дека долгоочекуваната ера на софистициран AI-генериран малициозен софтвер веројатно започнала,“ се наведува во блог-постот.

Ова значи дека бранителите мора да одговорат соодветно, користејќи безбедносни решенија засилени со AI за да помогнат во откривање и спречување на малициозен софтвер и други безбедносни закани, забележуваат истражувачите. Откритието за AI потеклото на VoidLink исто така отвора повеќе прашања за тоа колку друг AI-генериран малициозен софтвер веќе постои и наскоро ќе се појави „во дивината“ како сериозен противник, според Check Point.

„Ја откривме вистинската приказна за неговиот развој само затоа што имавме редок увид во околината на развивачот — видливост што речиси никогаш ја немаме,“ напишаа истражувачите. „Што го поставува прашањето: колку други софистицирани рамки за малициозен софтвер постојат, изградени со помош на AI, но без никакви артефакти што би го откриле тоа?“

Извори:

• Dark Reading – Complex VoidLink Linux Malware Created by AI Dark Reading