圈小蛙
近日,提供 CPU-Z 和 HWMonitor 等流行硬件分析工具的知名网站 CPUID.com 遭到黑客入侵。攻击者通过劫持网站使用的第三方 API,在 2026 年 4 月 9 日至 10 日期间的约 6 小时窗口内,将官方下载链接随机定向至含有恶意代码的伪造版本。本次攻击主要针对 HWMonitor 用户,植入了具有高度隐蔽性的 STX RAT 远程访问木马。目前 CPUID 官方已确认漏洞修复,并强调其原始签名程序本身未被篡改。
突发:社交媒体率先曝光下载异常
这起供应链攻击最早由安全研究人员及普通用户在社交媒体上披露。2026 年 4 月 13 日,安全分析师 d0cTB 与知名恶意软件研究机构 vx-underground 相继发布警告,称从 CPUID 官网下载的 HWMonitor 安装程序触发了多家杀毒软件(包括 Windows Defender)的病毒警报。
部分用户反馈,在安装过程中甚至出现了非预期的俄语提示框,这与该软件长期以来的简洁英文界面完全不符。随着讨论热度攀升,CPUID 官方随即展开调查,并在短时间内锁定了攻击路径。
技术细节:利用第三方 API 实现动态投毒
根据 CPUID 网站发布的最新声明,本次事故并非由于主服务器被攻破,而是其网站集成的一个“次要功能(侧边 API)”在 4 月 9 日至 10 日期间遭到了入侵。
黑客利用该 API 漏洞,在长达 6 小时的时段内,实现了对官方网站下载跳转逻辑的操控。攻击表现为“随机触发”:并非所有用户都会中招,部分点击下载链接的用户会被重定向至攻击者控制的仿冒文件。
值得注意的是,CPUID 提供的 CPU-Z 和 HWMonitor 原始二进制文件是安全的。攻击者采取的是典型的“DLL 侧加载(DLL Side-Loading)”技术。在恶意版本的 HWMonitor 压缩包中,包含了一个名为 CRYPTBASE.dll 的伪造文件。当用户运行看似合法的程序时,该恶意 DLL 会利用系统加载机制优先启动,随后连接到远程指令控制服务器(C2),静默下载更具破坏性的二级负载。
深度威胁:具备隐蔽虚拟网络能力的 STX RAT
安全专家指出,本次攻击中部署的核心恶意程序被确认为 STX RAT。这是一款功能极其强大的远程访问木马,其显著特点是集成了 HVNC(隐藏虚拟网络计算) 功能。
这意味着攻击者可以在不干扰受害者当前桌面操作的情况下,开启一个完全不可见的虚拟桌面进行操作,包括窃取浏览器存储的密码、加密货币钱包私钥以及各类登录凭证。此外,该木马大部分操作在内存中执行,极大地降低了被传统磁盘扫描杀毒软件发现的概率。这种攻击手法与 2026 年 3 月针对 FileZilla 社区的攻击极为相似,业界怀疑两者出自同一黑客组织之手。
CPUID官方回应与用户补救建议
CPUID 官方目前已关停了受损的第三方 API 并修复了跳转漏洞。官方在 CPUID 首页 发布的公告中明确表示:“我们已经解决了第三方 API 导致的问题。我们建议在 UTC 时间 4 月 9 日 15:00 至 4 月 10 日 10:00 之间下载过软件的用户,立即检查系统安全性。”
针对此事件,专家建议相关用户采取以下措施:
- 彻底清理: 立即删除在该时段下载的所有 CPUID 相关安装包,并卸载对应软件。
- 离线扫描: 使用更新至最新病毒库的查杀工具进行全盘扫描,建议使用包含行为检测功能的进阶防火墙。
- 凭证重置: 如果您怀疑系统已被入侵,请务必在安全的设备上修改重要的社交、金融及工作账号密码,并开启多因素验证(MFA)。
CPUID 这类老牌 PC 工具网站的失守再次提醒我们:供应链安全依然是全球互联网防御中最薄弱的一环。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️