文章总结： 黑客入侵CPUID项目API，篡改官网下载链接使CPU-Z和HWMonitor等工具指向恶意软件。攻击持续约6小时，使用多阶段加载器、DLL侧加载等技术规避检测，最终投放STXRAT窃取信息。卡巴斯基确认超150名用户受影响，CPUID已修复问题并提供干净版本。 综合评分： 85 文章分类： 恶意软件,漏洞预警,应急响应,威胁情报,供应链安全

CPUID 被黑客入侵，可通过 CPU-Z 和 HWMonitor 下载传播恶意软件

Rhinoer Rhinoer

犀牛安全

2026年4月27日 00:09 北京

在小说阅读器读本章

去阅读

黑客获得了 CPUID 项目的 API 访问权限，并更改了官方网站上的下载链接，为流行的 CPU-Z 和 HWMonitor 工具提供恶意可执行文件。

这两个实用程序拥有数百万用户，他们依靠它们来跟踪计算机内部硬件的物理健康状况和系统的全面规格。

最近在 Reddit 上下载过这两个工具的用户报告称，官方下载门户指向 Cloudflare R2 存储服务，并获取了 HWiNFO 的木马版本，HWiNFO 是另一个来自不同开发者的诊断和监控工具。

恶意文件的名称是 HWiNFO_Monitor_Setup，运行它会启动一个带有 Inno Setup 包装器的俄罗斯安装程序，这很不寻常，也非常可疑。

用户报告称，仍然可以从直接 URL 下载干净的 hwmonitor_1.63.exe，这表明原始二进制文件完好无损，但分发链接似乎已被篡改。

Igor’s Labs和 @vxunderground也证实了外部下载链的存在，他们报告称，其中涉及一个相当高级的加载器，该加载器使用了已知的技术、策略和程序 (TTP)。

vxunderground 表示： “当我开始用棍子戳它时，我发现这不是普通的恶意软件。”

“该恶意软件深度植入木马，通过受感染的域（cpuid-dot-com）进行传播，执行文件伪装，采用多阶段攻击，（几乎）完全在内存中运行，并使用一些有趣的方法来规避 EDR 和/或 AV，例如从 .NET 程序集中代理 NTDLL 功能。”

研究人员声称，同一个威胁组织上个月曾以 FileZilla FTP 解决方案的用户为目标，这表明攻击者正专注于广泛使用的实用程序。

下载的 ZIP 文件被 VirusTotal 上的20 款杀毒引擎标记为恶意软件，但并未明确识别出具体种类。一些杀毒引擎将其归类为 Tedy 木马，另一些则归类为 Artemis 木马。

Virustotal 上的一些研究人员表示，伪造的 HWiNFO 变种是一种信息窃取恶意软件。

BleepingComputer 已联系 CPUID，以了解更多关于此次事件的信息，包括入侵日期、受影响的版本以及受影响用户应采取的措施。一位发言人提供了以下声明。

“调查仍在进行中，但初步判断是，4月9日至10日期间，一个辅助功能（本质上是一个外部API）遭到入侵，持续时间约为6小时，导致主网站随机显示恶意链接（我们签名的原始文件未受影响）。此次入侵已被发现并修复。” – CPUID

同一个人告诉我们，黑客攻击他们的时候，主开发人员正在休假。

卡巴斯基的研究人员也分析了这起事件，并表示此次入侵从 4 月 9 日 15:00 UTC 持续到 4 月 10 日 10:00 UTC 左右，攻击者散布了以下 CPUID 软件的恶意版本：CPU-Z（版本 2.19）HWMonitor Pro（版本 1.57）HWMonitor（版本 1.63）PerfMonitor（版本 2.04）

修改后的变种包括一个合法的、已签名的可执行文件和一个名为“CRYPTBASE.dll”的恶意 DLL，用于 DLL 侧加载。

卡巴斯基表示：恶意DLL负责建立C2（命令与控制）连接并执行后续有效载荷。在此之前，它还会执行一系列反沙箱检查，如果所有检查都通过，它就会连接到C2服务器。

攻击者似乎使用了与 3 月份一次攻击活动中相同的 C2 地址和配置，该活动使用虚假的 FileZilla 网站来传播恶意下载。

最终的有效载荷是 STX RAT，eSentire 的研究人员记录了一种 具有信息窃取功能的恶意软件，该恶意软件被 eSentire 的 YARA 规则检测到。

根据卡巴斯基的监测，超过150名用户下载了CPUID产品的恶意变种。虽然大多数是个人用户，但研究人员表示，一些主要位于巴西、俄罗斯和中国的零售、制造、咨询、电信和农业等行业的企业也未能幸免。

卡巴斯基提供了下载的恶意文件、恶意 DLL 和攻击中使用的 URL 的入侵指标。

目前看来，CPUID 已经修复了该问题，现在可以为 CPU-Z 和 HWMonitor 提供干净的版本。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《CPUID 被黑客入侵，可通过 CPU-Z 和 HWMonitor 下载传播恶意软件》