CPUID供应链攻击：事件经过及影响

信息技术数字 » 资源 » CPUID供应链攻击：事件经过及影响

近几个月来，CPUID——这家公司开发了CPU-Z和HWMonitor等热门工具——的名字频频出现在新闻头条。 供应链攻击引发的网络安全问题 这让成千上万的用户感到非常失望。令人担忧的不仅是恶意软件本身，更是这一切都是通过官方网站的下载传播的，利用了技术社区对这些工具的巨大信任。

此次事件与近期其他一些案例（例如 OpenAI 的 macOS 应用程序通过某种方式遭到入侵）相呼应。 Axios库被操控这进一步印证了一个令人不安的事实：仅仅检查网站是否“官方”或可执行文件是否签名已不足以确保安全。攻击者正在改进其供应链技术，精准地攻击软件分发环节中最脆弱的部分。

CPUID、CPU-Z 和 HWMonitor 到底发生了什么？

CPUID 是一家老牌公司，成立于 90 年代末，以提供……而闻名。 免费硬件诊断和监控工具 对于 Windows 系统，CPU-Z 提供有关处理器、内存和主板的详细信息，而 HWMonitor 则用于监控温度、电压和风扇。这些工具在维修店、数据中心、游戏主机和测试环境中非常普遍。

2026年4月期间，该公司的官方网站是 在供应链攻击中受到损害 这影响了 CPU-Z 和 HWMonitor 的下载。此案的棘手之处在于，攻击者并未触及 CPUID 合法分发的源代码或签名二进制文件，而是攻击了一个更为隐蔽的部分：一个负责管理下载链接和某些内部流程的辅助 API。

2026年4月9日至10日期间，根据一些消息来源，该横向移动的API开始出现波动，持续时间约为6小时；而根据其他更深入的分析，持续时间则长达19小时。 重定向合法下载请求 攻击者会将用户引向其控制的基础设施。用户访问 cpuid.com，点击官方下载按钮，乍一看，一切似乎都很正常。

在此期间，一些用户注意到了一些奇怪的现象：安装程序名称异常，例如 “HWiNFO_Monitor_Setup.exe” 取而代之的是常见的 hwmonitor_*.exe 程序和杀毒软件的警告（很多人误以为是误报而忽略了这些警告）。真相由此开始逐渐浮出水面。

估计表明 潜在受影响用户数量巨大因为 CPU-Z 和 HWMonitor 并非小众软件：它们拥有数千万次的历史下载量，并且每天都被技术人员、系统管理员、超频玩家和 IT 专业人员使用。即使攻击窗口期只有短短几个小时，且跨越不同的全球时区，也足以造成严重影响。

供应链：为什么这次袭击如此危险

CPUID 案件尤其令人不安之处在于，它涉及…… 对分销链进行外科手术式打击 问题出在软件本身，而不是原始二进制文件。换句话说，问题不在于代码库或已签名的可执行文件，而在于决定向每个用户分发哪个文件的底层架构。

这一模式符合近年来一个明显的趋势： 软件简介在这些案例中，攻击者并非试图直接入侵每个终端用户设备，而是攻击将软件分发到成千上万台机器的公共链路。SolarWinds 和 Codecov 等案例已经表明，操纵分发链中的单个组件会造成多么严重的破坏。

攻击者通常会利用这些漏洞 API、Web 服务器或 CI/CD 流程中的安全漏洞 引入恶意链接、篡改的库或木马程序。CPUID 将“附加功能”或“附加 API”称为入口点，而非中央存储库或签名系统。该 API 允许更改下载链接的目标地址，而用户在浏览器中不会看到任何可疑之处。

最近OpenAI也遇到了类似的情况，当时一个工作流程…… 对 macOS 应用进行签名的 GitHub Actions 3月31日，有人下载了恶意版本的Axios库。尽管OpenAI保证没有用户数据或内部系统遭到破坏，但出于预防措施，OpenAI还是不得不撤销了macOS应用程序的证书。这再次表明，自动化流程中一个薄弱环节就可能污染整个链条。

从技术角度来看，这些入侵通常会利用诸如弱凭证之类的漏洞。 API缺乏强大的身份验证机制，服务器过时。 或者关键系统缺乏监控。更严重的是：这些问题往往会持续数小时甚至数天不被发现，直到社区或安全工具开始大规模检测到异常行为。

CPUID 案例中恶意软件的传播方式

根据多项公开分析，在 CPUID 事件中观察到了两种密切相关的攻击链变体。在记录最详尽的案例中，攻击者利用了…… 合法的 CPU-Z 二进制文件附带恶意 DLL 文件。 在同一安装目录中。

该 DLL，被标识为 CRYPTBASE.dll （与合法的 Windows 库同名）该恶意库使用 Zig 编译，并利用了 Windows DLL 搜索顺序：由于它与合法的 CPU-Z 可执行文件位于同一目录下，系统会首先加载恶意版本，而不是从 C:\Windows\System32 加载原始版本。这是一个典型的 DLL 劫持案例。

一旦伪造的 DLL 加载完毕，就会启动一个相当复杂的攻击链。恶意载荷会执行一个 第二个 DLL 直接加密在内存中攻击者利用反射注入技术，避免了磁盘写入，并且几乎没有留下任何可供后续分析的痕迹。这种行为导致一些高级安全代理立即将该活动标记为“检测到渗透框架或 shellcode”。

由此，通过以下方式与命令与控制（C2）服务器进行通信： 通过 HTTPS 向 1.1.1.1 发送 DNS 请求这个技巧旨在绕过许多传统的DNS监控系统。此外，该流程还涉及创建PowerShell进程来启动csc.exe和cvtres.exe，这对于像CPU-Z这样的工具来说是完全不寻常的。

为了确保感染在重启和部分清理尝试后仍然存在，恶意软件部署了多达 三种冗余持久性机制Windows 注册表中的一个 Run 键、一个每 68 分钟运行一次、持续时间长达 20 年的计划任务，以及隐藏在 AppData\Local 文件夹中的 MSBuild 项目文件，都可能成为恶意软件的来源。如果您不清楚具体要查找的内容，这种方法会使根除恶意软件变得极其困难。

最后一批货物被确认为 STX RAT它是一款远程访问木马，隐藏了VNC功能，能够注入键盘和鼠标，窃取多种浏览器（Chrome、Firefox、Edge、Brave）的凭证，提取Windows Vault数据，并访问加密货币钱包。它并非简单的广告软件，而是一个后门程序，具备广泛的间谍和控制能力。

该恶意软件试图获取的信息包括：凭据、远程控制权限等等。

整个攻击计划清楚地表明，其主要目标是…… 悄无声息地窃取敏感信息并持续远程访问它不会像勒索软件那样对用户造成直接伤害。这种区别至关重要，因为它使得攻击更难被检测，并且可能为攻击者带来更高的收益。

在与 STX RAT 相关的功能以及事件期间所看到的负载中，有几个典型功能尤为突出。 高级信息窃取程序和远程访问木马：提取存储在浏览器中的密码和 cookie，访问活动会话（电子邮件、网上银行、数字商店），收集系统信息，以及在用户拥有较高权限的环境中可能提升权限。

一些案例还提到在 .NET 中部署额外的有效载荷，以及使用内存 PowerShell 从远程服务器下载更多模块，这是一种常见的做法。 寻求模块化的竞选活动攻击者会先安装一个相对轻量级的初始植入程序，一旦确认目标机器符合其目标要求，他们就会下载额外的组件来窃取特定数据或在网络中横向移动。

选择 CPU-Z 和 HWMonitor 作为向量并非偶然。安装这些工具的用户通常都非常依赖 CPU-Z 和 HWMonitor。 IT 专业人员、系统管理员和具有特权访问权限的人员 在企业网络中，攻破一个拥有域权限的系统管理员所造成的影响，可能比感染一个没有权限的家庭用户要大得多。

因此，尽管已确认的直接受害者人数可能看起来相对较少（据一些EDR供应商称，大约有100起有据可查的案例），但企业和关键基础设施环境中的潜在损害却很高。这些技术人员只需拥有服务器、云面板或网络设备的访问权限，就可能打开一扇极其危险的大门。

如何知道自己是否可能受到影响

如果您在 2026 年 4 月 9 日至 10 日左右从 CPUID 官方网站下载了 CPU-Z 或 HWMonitor，则应该执行以下操作： 对您的下载和系统进行最低限度的审查哪怕只是为了排除这种可能性。没必要疑神疑鬼，但检查几个关键点还是值得的。

首先要做的是检查 您下载的文件的名称如果您的 HWMonitor 安装程序名称很奇怪，例如“HWiNFO_Monitor_Setup.exe”或任何其他不符合常见的 hwmonitor_*.exe 模式的变体，这绝对是一个危险信号。许多用户已经在论坛和社交媒体上讨论过这些名称不一致的问题。

其次，你应该看看 您的防病毒日志 与这些日期相对应。如果在下载或安装过程中，Windows Defender、Malwarebytes、Kaspersky 或其他安全解决方案发出警报而您忽略了它，现在是时候调出历史记录，查看它究竟检测到了什么。包含“可疑”、“恶意软件”或“潜在有害程序 (PUA)”等字眼的警告需要仔细检查。

也值得看看 浏览器下载历史记录 查找该时间段内源自 cpuid.com 的任何可执行文件。如果发现任何可疑文件，请保存一份副本以供分析（例如，稍后将其上传至 VirusTotal），并务必避免再次运行该文件。

如果您具备一定的技术知识，并且有理由怀疑您的系统可能已被入侵，那么一种方法是从U盘上的全新Linux镜像启动。 从外部分析 Windows 磁盘虽然大多数用户不需要它，但对于关键环境，它可以帮助查找 System32 之外的文件（例如 CRYPTBASE.dll）、不寻常的计划任务或 AppData 中的工件。

如果您已将文件下载到受感染的窗口，建议采取以下步骤。

如果在检查日期和文件名时，发现您下载 CPU-Z 或 HWMonitor 的日期正好在 2026 年 4 月 9 日至 10 日之间，那么最好假设至少存在一个 有合理暴露的可能性 即使事后分析表明没有实际感染，也应采取相应措施。

第一步是 卸载受影响的版本 从 Windows 控制面板或设置中卸载程序。在调查期间，保留你不信任的程序毫无意义。卸载后，最好清理 Program Files 和 AppData 文件夹中所有残留的文件夹，但务必小心，不要删除任何你不确定的文件。

然后，运行 完整病毒扫描（非快速扫描） 现代安全解决方案，尤其是那些具备行为检测功能的解决方案，即使部分有效载荷仅驻留在内存中，也能检测到此类恶意软件的痕迹。如果可能，建议结合使用更新后的 Windows Defender 和 Malwarebytes 等其他工具进行二次检测。

与此同时，您应该假设在此期间浏览器中存储的任何凭据都可能已被泄露。这意味着建议…… 更改电子邮件、网上银行和云服务的密码 以及任何通过 Chrome、Firefox、Edge 或 Brave 浏览器访问的关键平台。请在扫描和清理系统之后执行此操作，不要在此之前执行。

此外，也值得回顾一下…… 可疑的访问历史记录 检查您的主要账户（例如 Gmail、亚马逊、Dropbox 或您的银行账户），看看是否有来自异常地点或设备的登录记录。如果您在浏览器中保存了银行卡信息，最好通知您的银行，以便他们密切关注任何异常活动，或在极端情况下申请补办银行卡。

CPUID响应和当前下载状态

事件曝光后，CPUID发表声明解释说，此次攻击影响了…… 基础设施的辅助功能 ——那个臭名昭著的侧边栏 API——并且签名后的二进制文件和代码库没有被篡改。他们声称已经识别并修复了被入侵 API 中的漏洞，并恢复了下载平台的正常运行。

根据现有信息，CPU-Z 和 HWMonitor 的可执行文件已恢复。 通过清洁的基础设施，以适当的签名和送达方式进行妥善签署和送达。目前，一旦问题得到解决，从官方网站下载这些工具就被认为是安全的，前提是采取与从互联网获取的任何软件相同的预防措施。

即便如此，此次事件也确实引发了一定程度的合理不信任。许多组织都在质疑，继续部署像 CPUID 这样的第三方实用程序是否明智。 生产服务器或极其敏感的环境在某些情况下，我们会选择经过良好审核的开源替代方案（例如 Linux 上的 lm-sensors 或 OpenHardwareMonitor），或者选择来自云和硬件提供商的原生工具。

就CPUID而言，它需要努力…… 重建社区信任不仅清理了具体事件，而且还表明他们加强了内部安全：定期审计、更严格的访问控制、监控下载异常情况以及发布每个版本的可验证哈希值等措施。

更广泛地说，这类攻击正促使业界采取诸如以下做法： SBOM（软件物料清单）这些要求对软件的所有组件进行文档记录，并采用零信任架构模型，其中，如果内部代码没有通过持续的控制，甚至不认为它是可信的。

对用户和行业的重要启示

CPUID事件令人不安地提醒我们： 盲目信任官方网站已经远远不够了。攻击者已经意识到，薄弱环节往往不在于点击的用户，而在于我们都习以为常的分发基础设施。

对于最终用户而言，有几点值得牢记。第一点： 不要忽视杀毒软件的警告 即使文件来自知名网站，也不意味着您就应该注意到问题。现代检测方法依赖于行为和全球信誉；如果您在特定日期从 cpuid.com 下载文件时触发警报，则可能表明提供商的后端出现了异常情况。

第二点：看看 显而易见的细节，例如可执行文件的名称如果您预期安装的是 HWMonitor，却发现安装程序名为 HWiNFO_Monitor_Setup.exe，这应该立即引起您的警惕。只需两秒钟的注意，就能避免严重的病毒感染。

对于软件公司而言，这类事件凸显了加强 CI/CD 流程、下载服务器访问权限以及辅助 API 的必要性。依赖项扫描工具，例如…… Semgrep 或其他 SCA 系统在对二进制文件进行签名之前，对 CI/CD 日志和静态/动态分析应用 Sigma 规则不再是“锦上添花”:它们是基本要求。

最后，网络安全界正致力于开发更复杂的解决方案：使用强大的加密库来确保签名过程的完整性和真实性；使用内存端EDR来破解类似CPU-Z中显示的攻击链；以及建立一种……的文化。 任何大规模下载异常情况都会立即进行调查。而不是将其视为孤立的漏洞而置之不理。

发生的一切 CPUID供应链攻击 这清楚地表明，攻击分发渠道而非直接攻击源代码的策略将会长期存在。用户和组织需要提高网络安全意识：尽可能验证哈希值，注意文件名和证书，对似曾相识的徽标保持警惕，最重要的是，对任何可疑情况都要迅速反应，以免一次性事件演变成长期问题。