Peneliti keamanan di Cyble telah menemukan malware Linux baru bernama ClipXDaemon, yang membajak alamat dompet kriptokurensi dengan mengubah konten clipboard pada sistem berbasis X11. Malware ini beroperasi tanpa server command-and-control, memantau dan mengganti alamat secara real time untuk mengarahkan dana ke penyerang. Ia menggunakan proses infeksi multi-tahap dan teknik penyembunyian untuk menghindari deteksi.
ClipXDaemon, yang diidentifikasi oleh Cyble’s Research & Intelligence Labs (CRIL), muncul pada awal Februari 2026 dan menargetkan lingkungan desktop Linux yang menjalankan antarmuka grafis X11. Malware ini tiba melalui rantai infeksi tiga tahap: loader terenkripsi yang dihasilkan oleh framework bincrypter open-source, dropper residen memori yang mendekripsi menggunakan AES-256-CBC dan dekompresi gzip, serta payload ELF on-disk yang ditulis ke ~/.local/bin/ dengan nama file acak delapan hingga sembilan belas karakter. Untuk ketahanan, dropper menambahkan perintah eksekusi ke file ~/.profile pengguna, memastikan berjalan saat login tanpa memerlukan hak istimewa root. Setelah diaktifkan, ClipXDaemon memeriksa sesi X11; jika Wayland terdeteksi, ia langsung dihentikan karena pembatasan Wayland terhadap akses clipboard global. Ia kemudian menjadi daemon melalui proses double-fork, menutup deskriptor file, dan mengubah namanya menjadi “kworker/0:2-events” menggunakan prctl(PR_SET_NAME) untuk meniru thread pekerja kernel, berbaur dalam daftar proses dari alat seperti ps atau top. Fungsionalitas inti melibatkan polling clipboard setiap 200 milidetik melalui API X11 seperti XConvertSelection dan XGetWindowProperty. Ia memindai pola yang cocok dengan delapan kriptokurensi—Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple, dan TON—menggunakan ekspresi reguler terenkripsi yang didekripsi dengan ChaCha20. Saat kecocokan ditemukan, ia mengganti konten dengan alamat yang dikendalikan penyerang sebelum pasting dilakukan. Dompet pengganti yang dikonfirmasi mencakup yang untuk Ethereum (0x502010513bf2d2B908A3C33DE5B65314831646e7), Bitcoin (bc1qe8g2rgac5rssdf5jxcyytrs769359ltle3ekle), dan lainnya untuk Monero, Dogecoin, Litecoin, serta Tron. Tidak ada penggantian yang diamati untuk TON dan Ripple, meskipun dipantau. Yang patut dicatat, ClipXDaemon tidak memiliki aktivitas jaringan, tidak mengandung domain atau alamat IP tertanam, dan tidak melakukan kueri DNS atau koneksi. Desain tanpa C2 ini memungkinkan monetisasi langsung tanpa infrastruktur jarak jauh. Loader memiliki kemiripan struktural dengan malware ShadowHS dari Januari 2026, tetapi peneliti tidak menemukan bukti operator bersama, mengaitkan tumpang tindih dengan penggunaan umum bincrypter. Para ahli merekomendasikan migrasi ke Wayland, mengaudit ~/.profile dan ~/.local/bin/, serta memverifikasi alamat dompet secara manual sebelum transaksi. Payload ELF lolos deteksi di VirusTotal pada saat analisis.
