اكتشف باحثو الأمن في Cyble برمجية خبيثة جديدة لـ Linux تُدعى ClipXDaemon، والتي تخطف عناوين محافظ العملات المشفرة بتعديل محتوى الحافظة على الأنظمة المعتمدة على X11. تعمل البرمجية الخبيثة بدون خوادم التحكم والقيادة، حيث تراقب وتستبدل العناوين في الوقت الفعلي لإعادة توجيه الأموال إلى المهاجمين. تستخدم عملية إصابة متعددة المراحل وتقنيات تخفي للتهرب من الكشف.
ClipXDaemon، التي حددها مختبرات البحث والاستخبارات التابعة لـ Cyble (CRIL)، ظهرت في أوائل فبراير 2026 وتستهدف بيئات سطح المكتب Linux التي تعمل بواجهة X11 الرسومية. تصل البرمجية الخبيثة عبر سلسلة إصابة ثلاثية المراحل: محمل مشفر يُولد بواسطة إطار bincrypter مفتوح المصدر، مُسقِط مقيم في الذاكرة يفك التشفير باستخدام AES-256-CBC وفك الضغط بـ gzip، وحمولة ELF على القرص تُكتب إلى ~/.local/bin/ باسم ملف عشوائي من ثمانية إلى تسعة عشر حرفًا. للحفاظ على الاستمرارية، يُلحق المُسقِط أمر تنفيذ بملف ~/.profile الخاص بالمستخدم، مما يضمن تشغيله عند تسجيل الدخول دون الحاجة إلى صلاحيات الروت. عند التفعيل، يتحقق ClipXDaemon من وجود جلسة X11؛ إذا تم اكتشاف Wayland، ينهي نفسه فورًا بسبب قيود Wayland على الوصول إلى الحافظة العالمية. ثم يحول نفسه إلى daemon عبر عملية double-fork، يغلق وصفائف الملفات، ويعيد تسمية نفسه إلى “kworker/0:2-events” باستخدام prctl(PR_SET_NAME) ليقلد خيط عامل النواة، مما يندمج في قوائم العمليات من أدوات مثل ps أو top. الوظيفة الرئيسية تتضمن استطلاع الحافظة كل 200 مللي ثانية عبر واجهات X11 مثل XConvertSelection وXGetWindowProperty. يمسح لأنماط تطابق ثماني عملات مشفرة—Bitcoin، Ethereum، Litecoin، Monero، Tron، Dogecoin، Ripple، وTON—باستخدام تعبيرات منتظمة مشفرة تُفك تشفيرها بـ ChaCha20. عند العثور على تطابق، يستبدل المحتوى بعناوين تابعة للمهاجم قبل حدوث اللصق. محافظ الاستبدال المؤكدة تشمل تلك الخاصة بـ Ethereum (0x502010513bf2d2B908A3C33DE5B65314831646e7)، Bitcoin (bc1qe8g2rgac5rssdf5jxcyytrs769359ltle3ekle)، وأخرى لـ Monero، Dogecoin، Litecoin، وTron. لم يُلاحظ استبدالات لـ TON وRipple، رغم مراقبتها. من الملاحظ أن ClipXDaemon لا تحتوي على أي نشاط شبكي، ولا تحتوي على نطاقات أو عناوين IP مدمجة، ولا تقوم باستعلامات DNS أو اتصالات. هذا التصميم بدون C2 يسمح بالربح المباشر دون بنية تحتية عن بعد. يشترك المحمل في تشابهات هيكلية مع برمجية ShadowHS من يناير 2026، لكن الباحثين لم يجدوا دليلاً على مشغلين مشتركين، منسوبين التداخلات إلى الاستخدام المشترك لـ bincrypter. يوصي الخبراء بالانتقال إلى Wayland، وتدقيق ~/.profile و~/.local/bin/، والتحقق يدويًا من عناوين المحافظ قبل إجراء المعاملات. تفادت حمولة ELF الكشف على VirusTotal وقت التحليل.
