L'angolo del programmatore
- Creatore Discussione a323109
- Data di Inizio
Ignatius
sfumature di grigio
Secondo me qualche russo ti ha telefonato e ha chiesto "A323, è stato lei?"
andgui
Forumer storico
[td][/td]
[td]
[/td]
[td]
Se pensavi che Linux fosse immune ai problemi di sicurezza, preparati a ricrederti. I ricercatori di Check Point hanno appena scoperto VoidLink, un framework malware talmente avanzato da far impallidire molte minacce Windows. E la cosa preoccupante? È stato progettato specificamente per attaccare i sistemi cloud, dove Linux regna sovrano.
Scoperto a dicembre 2025, questo malware è stato creato da sviluppatori probabilmente affiliati alla Cina e rappresenta un salto di qualità enorme nel panorama delle minacce Linux. È scritto in un linguaggio di programmazione moderno chiamato Zig, e la sua caratteristica principale è la capacità di adattarsi all'ambiente in cui si trova.
Questa consapevolezza dell'ambiente non è solo per fare bella figura. VoidLink usa queste informazioni per rubare credenziali specifiche del cloud, chiavi API, token di accesso e tutti quei dati sensibili che permettono di muoversi liberamente nell'infrastruttura. In pratica, una volta dentro, può aprire tutte le porte che vuole.
Pensa a VoidLink come a un coltellino svizzero digitale. Ha un nucleo centrale che gestisce la comunicazione con i server degli attaccanti e coordina le operazioni, e poi ha tutti questi strumenti specializzati che può tirare fuori quando servono: moduli per rubare credenziali, per nascondersi dal sistema, per muoversi lateralmente verso altri computer, per raccogliere informazioni, e così via.
Questa architettura è stata ispirata da Cobalt Strike, uno strumento legittimo usato dai penetration tester (quelli che testano la sicurezza dei sistemi per mestiere) che però viene spesso abusato anche dai criminali. Gli sviluppatori di VoidLink hanno preso le idee migliori e le hanno adattate specificamente per Linux e il cloud.
In base a questo punteggio, VoidLink decide come comportarsi. Se si trova in un ambiente molto monitorato, rallenta tutte le sue operazioni, fa scansioni più lente, comunica meno frequentemente con i server di comando. Se invece l'ambiente è poco protetto, può agire più liberamente e velocemente. È un approccio intelligente che gli permette di sopravvivere più a lungo senza essere scoperto.
Ma non finisce qui. VoidLink usa anche tecniche di rootkit per nascondere la propria presenza. A seconda della versione del kernel Linux che trova, può usare metodi diversi: LD_PRELOAD per i kernel più vecchi, moduli kernel caricabili, o tecnologie moderne come eBPF per i sistemi più recenti. In questo modo riesce a nascondere processi, file e connessioni di rete, diventando praticamente invisibile al sistema operativo.
E se VoidLink sospetta di essere stato scoperto o che qualcuno stia cercando di analizzarlo? Si autodistrugge. Letteralmente. Cancella tutti i log, le cronologie dei comandi, i file temporanei, e poi si rimuove completamente dal sistema. È come se non fosse mai stato lì. Questo rende le indagini forensi estremamente difficili per chi cerca di capire cosa è successo dopo un attacco.
In pratica, infettando la macchina di uno sviluppatore che ha accesso ai sistemi di build e deployment, potrebbero potenzialmente inserire codice malevolo direttamente nei prodotti software che poi vengono distribuiti a migliaia o milioni di utenti. È uno scenario da incubo per la sicurezza.
Ma questo non significa che puoi abbassare la guardia. Ecco cosa puoi fare per proteggerti:
Controlla le tue pipeline CI/CD: Se lavori con sistemi di integrazione continua e deployment automatico, assicurati che siano ben protetti e monitora qualsiasi attività anomala.
Valida le immagini dei container: Non usare immagini Docker o Kubernetes a caso. Usa solo immagini da fonti fidate, meglio se firmate digitalmente.
Applica il principio del minimo privilegio: Dai agli utenti e ai servizi solo i permessi strettamente necessari. Se un account viene compromesso, almeno i danni saranno limitati.
Monitora l'accesso ai metadati cloud: Tieni d'occhio chi accede ai servizi di metadati dei cloud provider (come l'instance metadata service di AWS). Richieste anomale potrebbero essere un segnale d'allarme.
Usa strumenti di rilevamento avanzati: L'antivirus tradizionale non basta più. Hai bisogno di strumenti capaci di rilevare comportamenti anomali a runtime, come l'uso sospetto di syscall o il caricamento dinamico di codice in memoria.
Centralizza i log: VoidLink può cancellare i log locali, ma se hai una copia centralizzata su un altro sistema, avrai sempre traccia di cosa è successo.
Quello che rende VoidLink così pericoloso non è tanto una singola funzionalità, ma l'insieme: l'architettura modulare, la consapevolezza dell'ambiente cloud, la capacità di adattarsi dinamicamente, le tecniche di evasione avanzate. È stato progettato fin dall'inizio per operare in ambienti cloud moderni, non è un malware tradizionale adattato successivamente.
I ricercatori di Check Point che l'hanno scoperto hanno trovato molti artefatti di debug e simboli di sviluppo nei binari analizzati, il che suggerisce che il progetto è ancora in evoluzione attiva. Gli sviluppatori stanno aggiungendo continuamente nuove funzionalità e migliorando quelle esistenti. Questo significa che potremmo vedere versioni ancora più avanzate in futuro.
Le aziende devono investire in strumenti di monitoraggio specifici per il cloud, formare il personale sulle best practice di sicurezza cloud-native, e adottare un approccio zero-trust dove nessun accesso viene dato per scontato, nemmeno quelli interni.
VoidLink è anche un campanello d'allarme per gli sviluppatori. Le workstation degli sviluppatori sono diventate bersagli di alto valore perché hanno accesso a codice sorgente, sistemi di build, e infrastrutture di produzione. Proteggere queste macchine non è più opzionale, è essenziale.
Quello che mi colpisce di più è il livello di sofisticazione tecnica. Non stiamo parlando di script kiddie che copiano codice da GitHub. Questi sviluppatori conoscono a fondo Linux, i sistemi cloud, Kubernetes, le tecniche di evasione moderne. È chiaro che dietro VoidLink c'è un team con risorse significative e obiettivi a lungo termine.
Se lavori nel tech, specialmente se gestisci infrastrutture cloud o sviluppi software, ti consiglio caldamente di prendere sul serio questa minaccia. Anche se per ora non ci sono infezioni di massa, la semplice esistenza di un framework così avanzato significa che altri gruppi potrebbero ispirarsi o sviluppare strumenti simili.
La security hygiene non è mai stata così importante: autentica tutto, monitora tutto, applica il principio del minimo privilegio ovunque. E se gestisci un team, investi in formazione sulla sicurezza cloud. Non puoi proteggere quello che non capisci, e il cloud è un ambiente molto diverso dai tradizionali data center on-premise.
Un'ultima cosa: se usi Linux pensando di essere al sicuro dai malware "perché Linux è sicuro", è ora di cambiare mentalità. La sicurezza non viene dal sistema operativo, viene dalle pratiche che adotti. VoidLink è la prova che quando c'è un incentivo economico o strategico, gli attaccanti trovano sempre il modo di adattarsi.
Ecco gli articoli da cui ho preso spunto:
[/td]Cos'è VoidLink e perché dovresti preoccupartene
VoidLink non è il solito virus che infetta il tuo PC e fa danni visibili. È molto più sofisticato di così. Immagina un ladro che entra in casa tua, studia le tue abitudini per settimane senza farti accorgere di nulla, e poi decide il momento perfetto per agire. Ecco, VoidLink funziona più o meno così.Scoperto a dicembre 2025, questo malware è stato creato da sviluppatori probabilmente affiliati alla Cina e rappresenta un salto di qualità enorme nel panorama delle minacce Linux. È scritto in un linguaggio di programmazione moderno chiamato Zig, e la sua caratteristica principale è la capacità di adattarsi all'ambiente in cui si trova.
Un camaleonte digitale nel tuo cloud
La prima cosa che fa VoidLink quando infetta un sistema è capire dove si trova. Non si limita a entrare e basta: fa un check completo dell'ambiente. Riconosce se sta girando su Amazon Web Services, Google Cloud, Microsoft Azure, Alibaba o Tencent. Capisce se è dentro un container Docker o un ambiente Kubernetes. È come se avesse una mappa dettagliata del territorio prima ancora di iniziare l'attacco.Questa consapevolezza dell'ambiente non è solo per fare bella figura. VoidLink usa queste informazioni per rubare credenziali specifiche del cloud, chiavi API, token di accesso e tutti quei dati sensibili che permettono di muoversi liberamente nell'infrastruttura. In pratica, una volta dentro, può aprire tutte le porte che vuole.
Un'architettura modulare da manuale
Qui viene la parte davvero interessante dal punto di vista tecnico (ma te la spiego in modo semplice, promesso). VoidLink non è un programma monolitico che fa tutto insieme. È costruito come un framework modulare con oltre 30 plugin diversi che possono essere attivati all'occorrenza.Pensa a VoidLink come a un coltellino svizzero digitale. Ha un nucleo centrale che gestisce la comunicazione con i server degli attaccanti e coordina le operazioni, e poi ha tutti questi strumenti specializzati che può tirare fuori quando servono: moduli per rubare credenziali, per nascondersi dal sistema, per muoversi lateralmente verso altri computer, per raccogliere informazioni, e così via.
Questa architettura è stata ispirata da Cobalt Strike, uno strumento legittimo usato dai penetration tester (quelli che testano la sicurezza dei sistemi per mestiere) che però viene spesso abusato anche dai criminali. Gli sviluppatori di VoidLink hanno preso le idee migliori e le hanno adattate specificamente per Linux e il cloud.
L'arte di restare invisibili
Se c'è una cosa in cui VoidLink eccelle, è il nascondersi. Questo malware ha una vera ossessione per la furtività. Appena arriva su un sistema, fa una scansione completa per capire quali software di sicurezza sono installati: antivirus, sistemi di rilevamento delle intrusioni, strumenti di monitoraggio. Poi calcola un "punteggio di rischio" dell'ambiente.In base a questo punteggio, VoidLink decide come comportarsi. Se si trova in un ambiente molto monitorato, rallenta tutte le sue operazioni, fa scansioni più lente, comunica meno frequentemente con i server di comando. Se invece l'ambiente è poco protetto, può agire più liberamente e velocemente. È un approccio intelligente che gli permette di sopravvivere più a lungo senza essere scoperto.
Ma non finisce qui. VoidLink usa anche tecniche di rootkit per nascondere la propria presenza. A seconda della versione del kernel Linux che trova, può usare metodi diversi: LD_PRELOAD per i kernel più vecchi, moduli kernel caricabili, o tecnologie moderne come eBPF per i sistemi più recenti. In questo modo riesce a nascondere processi, file e connessioni di rete, diventando praticamente invisibile al sistema operativo.
Comunicazioni camuffate e autodistruzione
Il modo in cui VoidLink comunica con i suoi padroni è altrettanto sofisticato. Supporta diversi canali: HTTP e HTTPS (che sembrano traffico web normale), WebSocket, DNS tunneling, e persino ICMP (quello usato dal comando ping). Il traffico può essere mascherato per sembrare normale navigazione web o chiamate API legittime.E se VoidLink sospetta di essere stato scoperto o che qualcuno stia cercando di analizzarlo? Si autodistrugge. Letteralmente. Cancella tutti i log, le cronologie dei comandi, i file temporanei, e poi si rimuove completamente dal sistema. È come se non fosse mai stato lì. Questo rende le indagini forensi estremamente difficili per chi cerca di capire cosa è successo dopo un attacco.
Chi sono i bersagli?
VoidLink sembra essere stato progettato con un obiettivo specifico in mente: sviluppatori e amministratori di sistema che lavorano con infrastrutture cloud. Il fatto che raccolga credenziali Git, chiavi SSH, token cloud e API key suggerisce che gli attaccanti potrebbero voler compromettere la supply chain del software.In pratica, infettando la macchina di uno sviluppatore che ha accesso ai sistemi di build e deployment, potrebbero potenzialmente inserire codice malevolo direttamente nei prodotti software che poi vengono distribuiti a migliaia o milioni di utenti. È uno scenario da incubo per la sicurezza.
Come difendersi da VoidLink
Ok, ora che ti ho spaventato a dovere, parliamo di soluzioni. La buona notizia è che, al momento della scoperta, non ci sono conferme di infezioni attive su larga scala. Sembra che VoidLink sia ancora in fase di sviluppo o che venga usato in operazioni molto mirate.Ma questo non significa che puoi abbassare la guardia. Ecco cosa puoi fare per proteggerti:
Controlla le tue pipeline CI/CD: Se lavori con sistemi di integrazione continua e deployment automatico, assicurati che siano ben protetti e monitora qualsiasi attività anomala.
Valida le immagini dei container: Non usare immagini Docker o Kubernetes a caso. Usa solo immagini da fonti fidate, meglio se firmate digitalmente.
Applica il principio del minimo privilegio: Dai agli utenti e ai servizi solo i permessi strettamente necessari. Se un account viene compromesso, almeno i danni saranno limitati.
Monitora l'accesso ai metadati cloud: Tieni d'occhio chi accede ai servizi di metadati dei cloud provider (come l'instance metadata service di AWS). Richieste anomale potrebbero essere un segnale d'allarme.
Usa strumenti di rilevamento avanzati: L'antivirus tradizionale non basta più. Hai bisogno di strumenti capaci di rilevare comportamenti anomali a runtime, come l'uso sospetto di syscall o il caricamento dinamico di codice in memoria.
Centralizza i log: VoidLink può cancellare i log locali, ma se hai una copia centralizzata su un altro sistema, avrai sempre traccia di cosa è successo.
La nuova frontiera delle minacce informatiche
VoidLink rappresenta un punto di svolta. Per anni, la maggior parte del malware si è concentrata su Windows perché era l'obiettivo più diffuso. Ma ora che il cloud è diventato il cuore pulsante dell'infrastruttura IT moderna, e visto che Linux domina completamente il cloud, era inevitabile che gli attaccanti spostassero l'attenzione.Quello che rende VoidLink così pericoloso non è tanto una singola funzionalità, ma l'insieme: l'architettura modulare, la consapevolezza dell'ambiente cloud, la capacità di adattarsi dinamicamente, le tecniche di evasione avanzate. È stato progettato fin dall'inizio per operare in ambienti cloud moderni, non è un malware tradizionale adattato successivamente.
I ricercatori di Check Point che l'hanno scoperto hanno trovato molti artefatti di debug e simboli di sviluppo nei binari analizzati, il che suggerisce che il progetto è ancora in evoluzione attiva. Gli sviluppatori stanno aggiungendo continuamente nuove funzionalità e migliorando quelle esistenti. Questo significa che potremmo vedere versioni ancora più avanzate in futuro.
Uno sguardo al futuro della sicurezza cloud
La scoperta di VoidLink ci dice una cosa importante: la sicurezza del cloud non può più essere un ripensamento. Non basta più proteggere i singoli computer. Bisogna pensare alla sicurezza in modo olistico, considerando l'intera infrastruttura cloud come un ecosistema interconnesso.Le aziende devono investire in strumenti di monitoraggio specifici per il cloud, formare il personale sulle best practice di sicurezza cloud-native, e adottare un approccio zero-trust dove nessun accesso viene dato per scontato, nemmeno quelli interni.
VoidLink è anche un campanello d'allarme per gli sviluppatori. Le workstation degli sviluppatori sono diventate bersagli di alto valore perché hanno accesso a codice sorgente, sistemi di build, e infrastrutture di produzione. Proteggere queste macchine non è più opzionale, è essenziale.
Il mio parere
VoidLink è esattamente il tipo di minaccia che temevo sarebbe emersa prima o poi. Quando tutti parlano di AI e chatbot, le vere battaglie della sicurezza informatica si stanno combattendo nelle infrastrutture cloud che alimentano praticamente tutto il web moderno.Quello che mi colpisce di più è il livello di sofisticazione tecnica. Non stiamo parlando di script kiddie che copiano codice da GitHub. Questi sviluppatori conoscono a fondo Linux, i sistemi cloud, Kubernetes, le tecniche di evasione moderne. È chiaro che dietro VoidLink c'è un team con risorse significative e obiettivi a lungo termine.
Se lavori nel tech, specialmente se gestisci infrastrutture cloud o sviluppi software, ti consiglio caldamente di prendere sul serio questa minaccia. Anche se per ora non ci sono infezioni di massa, la semplice esistenza di un framework così avanzato significa che altri gruppi potrebbero ispirarsi o sviluppare strumenti simili.
La security hygiene non è mai stata così importante: autentica tutto, monitora tutto, applica il principio del minimo privilegio ovunque. E se gestisci un team, investi in formazione sulla sicurezza cloud. Non puoi proteggere quello che non capisci, e il cloud è un ambiente molto diverso dai tradizionali data center on-premise.
Un'ultima cosa: se usi Linux pensando di essere al sicuro dai malware "perché Linux è sicuro", è ora di cambiare mentalità. La sicurezza non viene dal sistema operativo, viene dalle pratiche che adotti. VoidLink è la prova che quando c'è un incentivo economico o strategico, gli attaccanti trovano sempre il modo di adattarsi.
Ecco gli articoli da cui ho preso spunto:
- https://www.ilsoftware.it/scoperto-un-malware-linux-mai-visto-prima-voidlink-prende-di-mira-il-cloud-ed-e-pericoloso/
- https://blog.checkpoint.com/research/voidlink-the-cloud-native-malware-framework-weaponizing-linux-infrastructure/
- https://research.checkpoint.com/2026/voidlink-the-cloud-native-malware-framework/
- https://thehackernews.com/2026/01/new-advanced-linux-voidlink-malware.html
- https://www.bleepingcomputer.com/news/security/new-voidlink-malware-framework-targets-linux-cloud-servers/
[td]
[/td]
[/td]
|
ConteRosso
mod sanguinario
C'ho capito una mazza comunque 
Ignatius
sfumature di grigio
No.
Un pc senza ingressi per USB e dischi, senza connessioni di rete, potrebbe essere sicuro (salvo che il produttore non ci abbia messo un virus, uno spyware o qualcosa di simile in fabbrica).
Ma non servirebbe quasi a niente, o meglio sarebbe utile come il PC con 8088 che usai io per fare la tesi quasi 40 anni fa.
Se conservi tutte le informazioni sulla carta, possono rubartele o possono bruciare.
Se le scolpisci sulla pietra, possono essere distrutte da un terremoto.
Se le tieni a mente, poi te le dimentichi.
Loreal_
Forumer attivo
Io credo di si invece, solo che il costo da pagare renderebbe il pc inutilizzabile.
Immaginiamo che nel mio pc ci sia il nome del mio barbiere preferito, informazione notoriamente segretissima e protetta da password.
Se l'algoritmo di cifratura e' buono, un estraneo ha solo tentativi a forza bruta per ottenere il nome, ma ci impiegherebbe secoli con i migliori computer, tranne forse quelli quantistici in sviluppo.
Il fattore chiave della sicurezza e' il tempo: tutti i sistemi sono violabili perche' se puo' accedere chi e' autorizzato allora c'e' il varco anche per chi non e' autorizzato. Ma se tu rendi l'operazione estremamente costosa in termini di tempo, ecco che diventa sconveniente.
Ignatius
sfumature di grigio
E quindi anche la risposta alla domanda "in linea almeno teorica, esista una porta blindata indenne da qualsiasi minaccia presente e futura" è, No.
Hai cominciato tu a scrivere domande che prevedono risposte discrete o, per meglio dire, binarie.
Cicca cicca.
Lo dico alla maestra, che ti sgrida.
Similar threads
