Site-ul dezvoltatorului software CPUID a fost deturnat pentru a distribui malware în locul unor programe utilitare populare precum HWMonitor

Se pare că utilizatorii care încearcă să descarce HWMonitor și CPU-Z de pe site-ul oficial al CPUID primesc instalatori infectați cu malware, într-un incident care pare a fi o compromitere activă a infrastructurii de distribuție a furnizorului, potrivit The Register.

CPUID, dezvoltatorul din spatele HWMonitor și CPU-Z, este o companie franceză de software cunoscută pentru producerea de instrumente de profilare și monitorizare a sistemului, utilizate pe scară largă de entuziaști, profesioniști IT și producători OEM. Numai CPU-Z are zeci de milioane de utilizatori la nivel global.

Problema a ieșit la iveală pentru prima dată prin rapoarte ale utilizatorilor de pe Reddit, unde un utilizator care încerca să actualizeze HWMonitor la versiunea 1.63 a fost redirecționat de pe site-ul oficial CPUID către o pagină de descărcare suspectă care găzduia un fișier numit HWiNFO_Monitor_Setup.exe. Anomalia a fost observată imediat, deoarece HWiNFO este un instrument de monitorizare a hardware-ului complet separat, dezvoltat de un alt furnizor. La executare, programul de instalare lansa o interfață de configurare în limba rusă, determinând utilizatorul să anuleze instalarea.

Investigații suplimentare efectuate de membrii comunității au arătat că linkul de descărcare încorporat pe pagina oficială HWMonitor a CPUID redirecționa către un domeniu extern găzduit pe Cloudflare R2, în loc de infrastructura standard a companiei. Domeniul respectiv găzduia un program de instalare infestat cu malware, încorporat într-un pachet Inno Setup modificat — o tehnică folosită frecvent pentru a ascunde încărcături malicioase și a împiedica analiza statică.

Cercetătorii în domeniul securității și utilizatorii tehnici care au analizat eșantionul prin VirusTotal și medii sandbox au confirmat comportamentul rău intenționat. Versiunile curate ale HWMonitor, precum 1.61 și chiar un fișier binar 1.63 accesibil direct prin URL-uri construite manual, nu au prezentat aceiași indicatori, ceea ce sugerează că compromiterea ar fi fost limitată la anumite căi de descărcare sau la fișiere furnizate dinamic.

Rapoarte suplimentare indică faptul că descărcările CPU-Z pot fi, de asemenea, afectate de aceeași compromitere a infrastructurii. Unii utilizatori au observat detectări antivirus la descărcarea programelor de instalare CPU-Z, în timp ce alții au raportat instabilitate a sistemului și simptome compatibile cu execuția de malware. Un utilizator a afirmat că instalarea CPU-Z de pe site-ul oficial a dus la o instalare Windows coruptă.

O analiză independentă realizată de VX-Underground coroborează aceste constatări, confirmând că cpuid.com distribuia activ malware la momentul investigației. Conform raportului, încărcătura nu era o amenințare obișnuită, ci un implant sofisticat, în mai multe etape, conceput pentru a fi ascuns și persistent. Malware-ul funcționa în mare parte în memorie, reducând urmele de pe disc, și utiliza tehnici avansate de evaziune, inclusiv redirecționarea funcțiilor Windows NTDLL printr-un ansamblu .NET pentru a ocoli sistemele de detectare și răspuns la nivel de terminal (EDR).

Aceeași analiză sugerează legături cu infrastructura utilizată în campanii anterioare, inclusiv una care viza utilizatorii FileZilla, ceea ce arată că incidentul nu a fost izolat, ci parte a unei operațiuni mai ample.

CPUID afirmă că problema a fost rezolvată, dar nu există detalii despre modul în care a fost accesată API-ul respectiv sau despre câte persoane au descărcat fișierele dăunătoare. Chiar și așa, incidentul demonstrează că atacatorii nu trebuie să modifice codul în sine pentru a provoca daune.

Se pare că obiectivul principal al malware-ului era furtul datelor de autentificare ale browserului, întrucât încerca să pătrundă în interfața COM IElevation a Google Chrome pentru a extrage și decripta parolele salvate. Malware-ul este relativ complex; VX-Underground afirmă într-o altă postare pe X că folosea metode avansate pentru a evita detectarea și răspunsul la nivel de terminal, precum și sistemele antivirus. Hackerii din spatele atacului au compromis unul dintre cele mai populare instrumente utilizate de pasionații de PC-uri și profesioniști în domeniu pentru a executa un atac asupra lanțului de aprovizionare.

Dezvoltatorul acestor instrumente, Samuel Demeulemeester, a publicat o declarație pe X, precizând că ancheta privind intruziunea este în curs, dar că o interfață API secundară a fost compromisă timp de aproximativ șase ore, determinând site-ul web să se conecteze la fișierele rău intenționate. Fișierele originale semnate de CPUID nu au fost afectate, iar problema a fost remediată între timp.

Având în vedere popularitatea HWMonitor și CPU-Z, multe persoane au descărcat probabil fișierele infectate în acea perioadă scurtă. Windows Defender a detectat de obicei malware-ul înainte de instalare, iar cei care au omis avertizarea au observat probabil programul de instalare ciudat în limba rusă. Totuși, există posibilitatea ca unii utilizatori să fi finalizat instalarea și să-și fi compromis sistemele și datele de autentificare.

Atacurile asupra lanțului de aprovizionare au câștigat recent teren ca metodă de răspândire a malware-ului. De exemplu, una dintre cele mai populare biblioteci JavaScript a fost afectată pentru a implementa troieni de acces la distanță pe mai multe platforme la sfârșitul lunii martie, iar un site web neoficial 7-Zip a fost compromis în ianuarie 2026, infectând PC-urile care descărcau utilitarul de compresie și integrându-le într-o rețea de botnet proxy. Chiar și serverele actualizate pot fi compromise — cum s-a întâmplat cu Notepad++ în iunie 2025, când utilizatorii care actualizau aplicația prin programul de actualizare încorporat au fost infectați.