CPUID网站遭劫持，HWMonitor下载链接被恶意替换

本周，CPUID官方网站遭受攻击者入侵，其后端组件被劫持，导致正常的下载链接在短时间内被替换为恶意文件，访问该网站的用户因此面临安全风险。

此次事件波及HWMonitor和CPU-Z等常用工具。Reddit等平台上的用户率先察觉到异常，他们发现下载的安装包触发了杀毒软件警报，或文件名出现异常。其中一个典型案例是：HWMonitor 1.63版本的更新链接指向了一个名为"HWiNFO_Monitor_Setup.exe"的文件，这显然与该软件本身毫无关联，强烈暗示上游环节已遭到篡改。

对此，CPUID已正式确认发生了安全漏洞，并将其归因于后端某一辅助组件被攻破，而非软件构建文件本身遭到篡改。

该网站的一位所有者在X平台发帖说明称："调查仍在持续推进，但目前来看，一个辅助功能模块（本质上是一个次级API）在4月9日至10日之间约六小时内遭到入侵，导致主网站随机展示恶意下载链接。我们经过数字签名的原始文件并未受到影响。此次漏洞已被发现并修复。"

经核查，软件本身的构建文件未受影响，数字签名完整，因此攻击者并未渗透到软件的编译流程。问题出在下载链接的分发环节。然而，对于那些在事发期间访问过该网站的用户而言，这一区别并无太大意义——若你点击的链接已被调包，你实际下载的便是攻击者预设的文件，全程可能毫无察觉。

安全研究机构vx-underground公布的分析结果显示，该恶意安装包主要针对64位HWMonitor用户，内含一个伪造的CRYPTBASE.dll文件，以模拟合法的Windows系统组件来混淆视听。该DLL文件随后会连接至远程命令与控制服务器，下载额外的恶意载荷。

攻击链并不止于此。分析显示，该恶意软件尽量避免将文件写入磁盘，主要依托PowerShell在内存中运行。它还会下载额外代码，并在受害者设备上即时编译.NET载荷，随后注入其他进程。此外，还有迹象表明该恶意软件会窃取浏览器数据——在测试过程中，研究人员观察到它与Google Chrome的IElevation COM接口进行交互，该接口可被用于访问并解密浏览器中存储的账户凭据。

分析还发现，此次攻击所使用的基础设施与此前针对FileZilla用户的攻击活动存在关联，这表明本次事件并非孤立的偶发行为，而是某一系列有组织攻击行动的组成部分。

目前，CPUID表示漏洞已修复，但关于该API如何被攻破、以及实际有多少用户下载了恶意文件等关键问题，仍未有明确说明。此次事件再次印证了一点：攻击者无需触碰软件代码本身，同样可以造成严重危害。

Q&A

Q1：CPUID网站这次遭到的是什么类型的攻击？

A：此次攻击属于供应链分发劫持类攻击。攻击者并未修改CPUID的软件源码或构建文件，而是入侵了网站的一个次级API组件，使下载页面随机展示指向恶意文件的链接。受影响时间段约为6小时（4月9日至10日），用户下载的不是官方签名文件，而是攻击者预置的恶意安装包。

Q2：HWMonitor恶意安装包会对用户造成哪些危害？

A：根据vx-underground的分析，该恶意安装包会植入伪造的CRYPTBASE.dll文件，连接远程命令与控制服务器，下载并在内存中执行额外载荷，同时在受害机器上编译.NET程序并注入其他进程。更值得警惕的是，该恶意软件还会尝试访问Google Chrome的IElevation COM接口，以窃取浏览器中保存的账号密码等敏感凭据。

Q3：如何判断自己是否下载了CPUID网站的恶意文件？

A：若你在2025年4月9日至10日期间从CPUID官网下载了HWMonitor或CPU-Z等工具，需格外留意以下异常：安装包触发了杀毒软件警报、文件名与预期不符（如出现"HWiNFO_Monitor_Setup.exe"字样）。建议立即使用杀毒软件进行全面扫描，并检查浏览器中保存的密码是否有异常登录记录，必要时更换相关账户密码。