夜雨聆风
安全资讯
CPU-Z、HWMonitor 官网下载被劫持
官方渠道也可能变成投毒入口
近日,知名硬件检测工具厂商 CPUID 遭遇一起安全事件,攻击者入侵了官网的一个次级功能接口,短时间内篡改了软件下载链接,导致用户在官网下载安装 CPU-Z、HWMonitor、HWMonitor Pro、PerfMonitor 等工具时,用户表面上下载的是正常软件,实际上下载的可能是被植入木马的版本,运行之后,电脑可能会被一个叫 STX RAT 的远控木马控制。这起事件最值得警惕的地方在于:官网是真的,页面看起来也正常,但下载入口已经被攻击者动了手脚。
01
这次事件到底是什么性质?
很多人看到这类新闻,第一反应是“官方安装包是不是被换掉了”。但这次并不是源代码仓库被攻破,也不是签名证书失陷。根据 CPUID 官方说明,问题出在网站的一个“次级功能接口”被入侵,导致部分下载按钮跳转到了攻击者控制的恶意站点。
也就是说:
用户访问的是官网
点击的是官方下载
但实际下载到的却可能是恶意程序
这类攻击本质上是下载分发链路被污染,也可以理解为一次典型的“官方渠道投毒”。根据公开的信息显示,被用于投毒分发的版本包括:
CPU-Z 2.19
HWMonitor 1.63
HWMonitor Pro 1.57
PerfMonitor 2.04
目前,攻击持续时间公开说法略有差异,CPUID 官方称约 6 小时,研究人员则认为恶意分发窗口大致在 4 月 9 日至 4 月 10 日之间。虽然时间不长,但已经造成了实际感染,研究人员已识别出 150 多名受害者,其中不仅有个人用户,也有企业组织。
02
攻击者是怎么实现投毒的?
攻击者分发的恶意样本通常包含两部分:
一个合法、已签名的正常程序
一个名为 CRYPTBASE.dll 的恶意 DLL
这里用到的是常见的 DLL加载技术。简单说,就是用户运行看似正常的软件时,程序会优先加载同目录下的恶意 DLL,进而执行木马代码。
这种手法的迷惑性很强,因为它借用了正版程序做掩护。对普通用户来说,看起来像是在运行正常软件;对部分安全检测来说,也更容易混淆视线。
03
最终投放的 STX RAT 有多危险?
恶意 DLL 启动后,会先做环境检查和反分析,再连接外部控制服务器,最终拉取并执行 STX RAT。
这不是一个简单的信息窃取器,而是一款功能较完整的远控木马,具备:
远程控制主机
执行后续载荷
内存中运行 EXE / DLL / PowerShell
建立隧道和反向代理
数据窃取
更值得注意的是,它还支持 HVNC(隐藏虚拟桌面)。也就是说,攻击者可以在用户几乎察觉不到的情况下,在一块隐藏桌面中操作浏览器、访问系统后台、执行进一步攻击。这对企业环境来说,意味着风险可能迅速从“终端中毒”升级为“账号泄露”和“横向移动”。
04
这件事给我们的启发是什么?
这起事件最重要的提醒是:官方渠道,也不等于绝对安全。
过去谈供应链攻击,大家更多关注代码仓库、构建系统和签名证书。但这次事件说明,攻击者并不一定非要打到最核心的系统,只要能控制:
下载按钮
页面跳转逻辑
网站接口
分发源配置
就足以完成一次高成功率投毒。
换句话说,供应链安全的边界,早已不只是“代码本身”,还包括官网、接口、下载链路、对象存储和各种边缘功能。
05
企业和个人应该怎么做?
如果你在 4 月 9 日到 4 月 10 日期间通过 CPUID 官网下载过相关软件,建议重点排查:
是否下载了上述受影响版本
下载目录或安装目录中是否存在 CRYPTBASE.dll
是否访问过以下可疑域名:
cahayailmukreatif.web[.]idpub-45c2577dbd174292a02137c18e7b1b5a.r2[.]devtransitopalermo[.]comvatrobran[.]hr对于企业安全团队,还应进一步检查:
是否存在异常外联
是否有合法程序加载本地恶意 DLL
是否出现 PowerShell、shellcode 等内存执行行为
是否存在账号泄露、令牌窃取或横向移动迹象
如果样本已经执行,不建议只靠“删文件、卸软件”来处理,更稳妥的方式是按疑似主机失陷进行处置,并及时修改重要账号密码、重置 MFA。
这次 CPUID 事件提醒我们:攻击者未必要篡改官方软件本体,只要劫持官方下载入口,就足以利用用户对官网的信任完成投毒。对普通用户来说,“来自官网”不再意味着绝对安全;对企业安全团队来说,供应链防护也不能只盯着代码和构建系统,而要把官网、下载分发和外部依赖一并纳入安全视野。
某公司内部 AI 智能体安全事故深度分析与启示
再次登榜!嘉诚信息子公司华易数安入围
第四期数字安全全景图9大板块25个技术领域
OpenClaw:从“神器”到国家级风险预警
