Compromitere de amploare: utilizatorii de HWMonitor și CPU-Z, victime ale unui atac informatic
Utilizatorii din întreaga lume care au încercat să descarce HWMonitor și CPU-Z, două aplicații populare de monitorizare a hardware-ului, de pe site-ul oficial CPUID, au fost expuși unui atac informatic. Hackerii au infiltrat instalatori infectați cu malware, compromițând astfel lanțul de aprovizionare al companiei franceze. Incidentul a fost semnalat de utilizatori și confirmat de experți în securitate.
Ce s-a întâmplat?
Problema a ieșit la iveală după ce un utilizator Reddit a relatat că, în încercarea de a actualiza HWMonitor, a fost redirecționat către o pagină suspectă. Aceasta oferea un fișier numit HWiNFO_Monitor_Setup.exe. Anomalia a fost imediat observată, deoarece HWiNFO este un software diferit. Programul de instalare infecțios lansa o interfață în limba rusă, ceea ce a generat suspiciuni. Investigațiile au relevat că linkul de descărcare de pe pagina oficială a HWMonitor redirecționa către un domeniu extern, găzduit pe Cloudflare R2, unde era găzduit un program de instalare cu malware.
Analize ulterioare au confirmat comportamentul rău intenționat. Fișierele curate ale HWMonitor nu prezentau aceiași indicatori, sugerând că compromiterea a fost limitată la anumite căi de descărcare. Aceeași situație pare să fi afectat și descărcările CPU-Z. Utilizatorii au raportat detecții antivirus și instabilitate a sistemului. Un utilizator a menționat chiar că instalarea CPU-Z a dus la o corupere a sistemului de operare Windows.
Detaliile atacului și implicațiile
Malware-ul, conform analizei VX-Underground, nu este unul obișnuit, ci este un implant sofisticat, în mai multe etape, conceput pentru a fi ascuns și persistent. Acesta funcționa în mare parte în memorie, reducând urmele, și folosea tehnici avansate de evaziune pentru a ocoli sistemele de detecție și răspuns. Scopul principal al malware-ului pare să fi fost furtul datelor de autentificare din browser, inclusiv parolele salvate. Atacul a exploatat chiar interfața COM IElevation a Google Chrome.
Samuel Demeulemeester, dezvoltatorul instrumentelor afectate, a anunțat pe platforma X că o interfață API secundară a fost compromisă timp de aproximativ șase ore, ceea ce a permis ca site-ul web să se conecteze la fișierele dăunătoare. Acesta a adăugat că fișierele originale semnate de CPUID nu au fost afectate și că problema a fost remediată.
Reacții și măsuri
Incidentul subliniază importanța securității în lanțul de aprovizionare. Atacurile asupra lanțului de aprovizionare au crescut, afectând chiar și aplicații populare. În martie 2026, o bibliotecă JavaScript populară a fost compromisă, iar în ianuarie 2026, un site web neoficial 7-Zip a fost atacat. Chiar și actualizările de software pot fi compromise, așa cum s-a întâmplat cu Notepad++ în iunie 2025.
Având în vedere popularitatea HWMonitor și CPU-Z, mulți utilizatori ar fi putut descărca fișierele infectate. Windows Defender a reușit să detecteze malware-ul înainte de instalare în majoritatea cazurilor. Totuși, autoritățile continuă investigațiile pentru a evalua amploarea daunelor.
