【安全资讯】CPUID官网遭劫持，HWMonitor等工具下载链接被替换为恶意软件

概要：

在数字化时代，软件供应链的安全已成为全球关注的焦点。本周，知名硬件监控工具提供商CPUID的官方网站遭遇攻击，其部分后端系统被黑客劫持，导致用户下载的HWMonitor和CPU-Z等流行工具安装包被替换为恶意软件。这一事件不仅暴露了软件分发渠道的脆弱性，也再次提醒用户，即使是从官方渠道下载的软件也可能存在风险。

主要内容：

攻击发生在4月9日至10日之间，持续约六小时。攻击者并未直接篡改CPUID官方签名的软件安装文件，而是通过入侵一个次要的API（侧边API），篡改了网站前端显示的下载链接。当用户点击下载时，会被重定向到一个恶意的安装程序，例如名为“HWiNFO_Monitor_Setup.exe”的文件，而非预期的HWMonitor安装包。

根据vx-underground的分析，该恶意安装程序主要针对64位HWMonitor用户。其核心机制是释放一个伪装成合法Windows系统文件CRYPTBASE.dll的恶意动态链接库。该DLL会主动连接攻击者的命令与控制（C&C）服务器，下载并执行后续攻击载荷。

为了增强隐蔽性，恶意软件尽可能避免在磁盘上留下痕迹，主要依赖PowerShell在内存中运行。它会在受害者机器上下载额外代码，编译一个.NET payload，并将其注入到其他系统进程中。此外，该恶意软件还试图窃取浏览器数据，在测试中被发现通过Google Chrome的IElevation COM接口访问和解密存储的登录凭证。

此次攻击的基础设施与之前针对FileZilla用户的攻击活动存在关联，表明攻击者并非进行一次性测试，而是有一套成熟的攻击流程。CPUID已确认漏洞并修复，但关于API如何被入侵以及具体受影响用户数量，目前尚未公布详细信息。