برزت برمجية خبيثة جديدة لأنظمة لينكس، أُطلق عليها اسم ClipXDaemon، كتهديد مالي مباشر لمستخدمي العملات الرقمية في بيئات سطح المكتب التي تعتمد على X11. تعمل هذه البرمجية بشكل مستقل دون الحاجة لخوادم تحكم واتصال (C2)، حيث تقوم بمراقبة حافظة النسخ واللصق باستمرار واستبدال عناوين المحافظ الشرعية بأخرى يتحكم بها المهاجمون.
تم اكتشاف البرمجية الظارة في فبراير 2026، وتظهر ضمن بنية تحميل مرتبطة بـ ShadowHS، وهي برمجية خبيثة أخرى لأنظمة لينكس تم توثيقها سابقاً. ورغم تشابه أدوات التشفير المستخدمة في كلا الحالتين، فإن آلية عمل ClipXDaemon تستهدف بشكل مباشر مستخدمي سطح المكتب الذين يقومون بنسخ ولصق عناوين محافظ العملات الرقمية.
ClipXDaemon: تهديد صامت يفوق توقعات الأمان التقليدي
ما يميز ClipXDaemon هو عدم وجود أي نشاط شبكي على الإطلاق. لا تحمل البرمجية أي عناوين IP أو نطاقات مدمجة، ولا تبادر بأي استعلامات DNS أو اتصالات HTTP، مما يجعل الدفاعات التقليدية القائمة على الشبكة غير فعالة تماماً. تكمن آلية تحقيق الربح في لحظة واحدة: عند قيام الضحية بلصق عنوان المحفظة المنسوخ، تستبدله البرمجية بصمت بعنوان محفظة يتحكم بها المهاجم قبل اكتمال المعاملة.
آلية الهجوم والطبقات الخفية
تصل ClipXDaemon عبر سلسلة إصابة ثلاثية المراحل مصممة لترك أقل قدر ممكن من الآثار. تبدأ العملية بمُحمّل مشفّر تم إنشاؤه بواسطة أداة bincrypter، والذي يخزن حمولة مشفرة بداخله، ثم يقوم بفك تشفيرها وفك ضغطها باستخدام AES-256-CBC ثم gzip. بعد ذلك، يقوم بتنفيذ المُسقِط (dropper) الوسيط مباشرة عبر واصف ملف /proc/self/fd، دون كتابة المرحلة المفككة إلى القرص.
يقوم المُسقِط بفك تشفير ملف ELF ثنائي 64 بت مضمن ويكتبه تحت اسم ملف عشوائي في المسار ~/.local/bin/. ثم يضيف تنفيذ الحمولة إلى ملف ~/.profile، مما يؤسس لآلية بقاء (persistence) يتم تفعيلها عند تسجيل الدخول، دون الحاجة إلى صلاحيات الجذر أو مهام مجدولة (cron jobs) أو خدمات النظام.
تفاصيل تقنية وعمليات الاستبدال
بمجرد أن تصبح البرمجية نشطة، تتحقق من وجود خادم العرض Wayland وتخرج فوراً إذا تم اكتشافه، لأن Wayland يقيد الوصول العالمي إلى حافظة النسخ الذي تسمح به X11. في حال تأكيد وجود X11، تقوم البرمجية بتسلسل ازدواج الانقسام (double-fork daemonization) وتغيير اسم عمليتها إلى kworker/0:2-events باستخدام prctl(PR_SET_NAME)، لمحاكاة سلسلة عمل معالج النواة لتجنب الشك في قوائم العمليات الروتينية.
بعد ذلك، تقوم البرمجية بفحص حافظة النسخ كل 200 مللي ثانية. عندما تتطابق سلسلة منسوخة مع أحد أنماط محافظ العملات الرقمية الثمانية المشفرة (Bitcoin, Ethereum, Litecoin, Monero, Tron, Dogecoin, Ripple, TON)، تستبدل البرمجية بصمت محتويات الحافظة بعنوان محفظة للمهاجم قبل إتمام عملية اللصق. تم تأكيد عمليات الاستبدال النشطة لستة أصول أثناء التحليل الديناميكي، بينما ظهر TON و Ripple في وضع المراقبة فقط.
توصيات أمنية للحماية
ينصح المستخدمون الذين يستخدمون لينكس والعملات الرقمية بإعطاء الأولوية للانتقال من X11 إلى Wayland حيثما أمكن، حيث أن Wayland يعيق قدرة ClipXDaemon على مراقبة حافظة النسخ العالمية. يجب على مسؤولي الأنظمة تدقيق التغييرات في ملفات ~/.profile و ~/.bashrc، ووضع علامة على الملفات التنفيذية الجديدة داخل ~/.local/bin/، والتحقيق في أي عملية خلفية تحمل اسم معالج نواة وتعمل تحت حساب مستخدم غير جذر (non-root).
ينبغي أن تنبه ضوابط الكشف والاستجابة لنقطة النهاية (EDR) السلوكية إلى ملفات ELF التي يتم تنفيذها عبر /proc/self/fd، وازدواجية الانقسام من نوافذ المستخدم، ومراقبة حافظة النسخ بتردد عالٍ من قبل عمليات الخلفية. يجب على المستخدمين التحقق يدوياً من كل عنوان محفظة قبل تأكيد تحويل العملات الرقمية، والنظر بقوة في استخدام محافظ الأجهزة التي تعرض عناوين المستلم بشكل مستقل عن نظام التشغيل المضيف.