Παραβίαση CPUID: Τα CPU-Z και HWMonitor μοίραζαν malware για έξι ώρες

Η ιστοσελίδα της CPUID, της εταιρείας πίσω από τα δημοφιλή εργαλεία HWMonitor και CPU-Z, παραβιάστηκε από άγνωστους επιτιθέμενους, με αποτέλεσμα όσοι κατέβαζαν αυτά τα προγράμματα να λαμβάνουν μολυσμένα αρχεία αντί για τα νόμιμα. Οι hackers απέκτησαν πρόσβαση σε ένα API του project και άλλαξαν τους download links στην επίσημη ιστοσελίδα, ώστε να εξυπηρετούν κακόβουλα executables. Το περιστατικό αποκαλύφθηκε στις 10 Απριλίου 2026, αρχικά μέσα από αναρτήσεις χρηστών στο Reddit.

Πώς έγινε η παραβίαση

Οι επιτιθέμενοι δεν παραβίασαν τα ίδια τα builds του λογισμικού ή τη διαδικασία signing. Αντ' αυτού, απέκτησαν πρόσβαση σε ένα secondary API που χρησιμοποιεί η CPUID για να εξυπηρετεί τους download links στην ιστοσελίδα της, και ανακατεύθυναν τους χρήστες σε κακόβουλα αρχεία που φιλοξενούνταν στο Cloudflare R2 storage. Σύμφωνα με τον Samuel Demeulemeester της CPUID, «η έρευνα συνεχίζεται, αλλά φαίνεται ότι ένα secondary feature (ουσιαστικά ένα side API) παραβιάστηκε για περίπου έξι ώρες μεταξύ 9ης και 10ης Απριλίου, με αποτέλεσμα η κύρια ιστοσελίδα να εμφανίζει τυχαία κακόβουλους links. Τα signed αρχεία μας δεν παραβιάστηκαν. Η παραβίαση εντοπίστηκε και έχει από τότε διορθωθεί.»

Σύμφωνα με την ομάδα vx-underground, ο threat actor παραβίασε το cpuid.com και οι χρήστες που προσπαθούσαν να κατεβάσουν την τελευταία έκδοση εξυπηρετούνταν με ένα compromised installer από το supp0v3[.]com, το οποίο χρησιμοποιήθηκε επίσης σε μια εκστρατεία malware που ξεκίνησε τον Μάρτιο του 2026. Το όνομα του κακόβουλου αρχείου ήταν HWiNFO_Monitor_Setup, και η εκτέλεσή του εκκινούσε ένα Russian installer με Inno Setup wrapper, κάτι εξαιρετικά ύποπτο. Βάσει των δεδομένων της Kaspersky, περισσότεροι από 150 χρήστες κατέβασαν κακόβουλη παραλλαγή των προϊόντων της CPUID. Αν και οι περισσότεροι ήταν ιδιώτες, αρκετοί οργανισμοί από τους τομείς retail, manufacturing, consulting, τηλεπικοινωνιών και γεωργίας, κυρίως σε Βραζιλία, Ρωσία και Κίνα, συγκαταλέγονταν επίσης μεταξύ των θυμάτων.

Τεχνική ανάλυση του malware

Το malware είναι «deeply trojanized, διανέμεται από παραβιασμένο domain (cpuid.com), εκτελεί file masquerading, είναι multi-staged, λειτουργεί σχεδόν εξ ολοκλήρου στη μνήμη, και χρησιμοποιεί ενδιαφέρουσες μεθόδους για την αποφυγή EDR και AV, όπως το proxying NTDLL functionality από ένα .NET assembly», ανέφερε η vx-underground. Οι επιτιθέμενοι ονόμασαν το κακόβουλο payload CRYPTBASE.dll, για να μεταμφιεστεί ως νόμιμη Windows library που χρησιμοποιεί το ίδιο το HWMonitor. Το DLL αυτό επικοινωνούσε με command-and-control server για να κατεβάσει επιπλέον payloads, ενώ το malware επιχειρούσε να παραμείνει όσο το δυνατόν εκτός δίσκου, χρησιμοποιώντας PowerShell και λειτουργώντας κυρίως στη μνήμη. Επίσης, κατέβαζε επιπλέον κώδικα και μεταγλώττιζε ένα .NET payload στο μηχάνημα-θύμα πριν το εγχύσει σε άλλες διεργασίες.

Το τελικό payload ταυτοποιήθηκε ως STX RAT, ένα malware που έχει τεκμηριωθεί από ερευνητές της eSentire ως έχον infostealer δυνατότητες. Υπάρχουν επίσης ενδείξεις ότι το malware στόχευε browser data. Σε tests, παρατηρήθηκε να αλληλεπιδρά με το IElevation COM interface του Google Chrome, το οποίο μπορεί να χρησιμοποιηθεί για πρόσβαση και αποκρυπτογράφηση αποθηκευμένων credentials. Το αρχείο ελέγχθηκε στο VirusTotal και επιβεβαιώθηκε ως κακόβουλο, με σήμανση από τουλάχιστον 32 security vendors ως trojan.

Μέρος ευρύτερης εκστρατείας

Η ανάλυση υποδηλώνει συνδέσεις με infrastructure που χρησιμοποιήθηκε σε προηγούμενες εκστρατείες, συμπεριλαμβανομένης μιας που στόχευε χρήστες του FileZilla, υποδηλώνοντας ότι αυτό δεν ήταν ένα μεμονωμένο πείραμα, αλλά μέρος ενός ευρύτερου playbook. Επιπλέον, αναφέρεται ότι οι hackers επιτέθηκαν σε χρόνο που ο κύριος developer βρισκόταν σε διακοπές, κάτι που δεν φαίνεται τυχαίο. Το περιστατικό αποκτά επιπλέον βαρύτητα καθώς η CPUID ήταν ήδη στο επίκεντρο νωρίτερα εντός του 2026 λόγω ενός ξεχωριστού security θέματος: το NVD καταγράφει μια information disclosure ευπάθεια στο kernel driver του CPU-Z 2.17 και παλαιότερων, υπό την CVE-2025-65264.

Τι πρέπει να κάνουν οι χρήστες που επηρεάστηκαν

Το Windows Defender συνήθως εντόπιζε το malware πριν εγκατασταθεί, και όσοι το παρέκαμψαν πιθανώς παρατήρησαν το ασυνήθιστο Russian install program. Ωστόσο, υπάρχει μια μικρή πιθανότητα κάποιοι να προχώρησαν στην εγκατάσταση και να έθεσαν σε κίνδυνο το σύστημά τους και τα αποθηκευμένα credentials τους. Αν κατεβάσατε CPU-Z ή HWMonitor κατά τη διάρκεια του affected window, θεωρήστε ότι το σύστημα έχει παραβιαστεί, αλλάξτε όλους τους κωδικούς που θα μπορούσαν να έχουν κλαπεί (ιδιαίτερα όσους είναι αποθηκευμένοι στον browser σας), ενεργοποιήστε MFA παντού, και εκτελέστε security scans ή ακόμα και επανεγκαταστήστε το λειτουργικό σύστημα αν θέλετε να είστε σίγουροι. Αν κατεβάσατε ένα αρχείο με όνομα «HWiNFO_Monitor_Setup.exe» από την ιστοσελίδα της CPUID, έχετε λάβει την κακόβουλη έκδοση. Από αυτή τη στιγμή, τα κακόβουλα downloads έχουν αφαιρεθεί και η ιστοσελίδα δεν εξυπηρετεί πλέον μολυσμένα installers. Δεν υπάρχουν ενδείξεις ότι το ίδιο το λογισμικό backdooρ-αρίστηκε ή ότι το build environment της CPUID παραβιάστηκε.

Πηγές

• Guru3D: CPUID Offline After Reports of Malware in CPU-Z and HWMonitor Downloads
• BleepingComputer: Supply chain attack at CPUID pushes malware with CPU-Z, HWMonitor
• Tom's Hardware: HWMonitor and CPU-Z developer CPUID breached by unknown attackers
• Cybernews: CPUID compromised, HWMonitor and CPU-Z delivered malware
• The Register: CPUID hijacked to serve malware as HWMonitor downloads
• HotHardware: Official CPU-Z And HWMonitor Installers Infected With Malware After Site Breach
• VideoCardz: Popular CPU-Z and HWMonitor software installers on CPUID site flagged for malware