知名硬件检测工具 CPU-Z 和硬件监控工具 HWMonitor 开发商 CPUID 网站日前遭到黑客攻击,黑客通过未知方式入侵该网站的服务器,然后在网站上随机显示恶意链接并诱导用户下载。
最初 Reddit 网友尝试更新 HWMonitor v1.63 版时发现问题:CPUID 提供极具迷惑性的文件 HWiNFO_Monitor_Setup.exe,该文件立即触发 Microsoft Defender 的安全警告。
当用户以为是误报并忽略警告继续运行时,没想到竟然弹出俄语安装程序,显然这不正常,于是这名网友中断安装并在 Reddit 上发帖提醒其他网友注意这个安全问题。
接到相关反馈后 CPUID 官方证实网站遭到黑客攻击,当地时间 2026 年 4 月 9 日~10 日,网站大约被入侵 6 个小时,但更多细节还需要调查,相关应用程序原始文件并未被篡改。
恶意软件的工作机制:
黑客投放的恶意软件包含正常的 CPU-Z 软件,但黑客在里面捆绑名为 CRYPTEBASE.dll 的恶意文件,当用户运行 CPU-Z 时这个恶意文件就会被加载到内存中。
当恶意文件开始运行后,将自动搜寻浏览器凭据,同时可以调用 PowerShell 从 C2 服务器获取更多指令,包括试图解密 Chrome 浏览器保存在本地的各类账户密码。
CPUID 网站辅助 API 被控制:
从目前分析来看,黑客通过某种方式控制 CPUID 网站上的辅助 API,这让黑客可以在不触及源码服务器的情况下篡改下载链接,CPUID 相关软件本身并未被篡改,黑客主要是将下载链接替换为恶意程序地址。
考虑到这些恶意文件的危害性,建议在 2026 年 4 月 9 日~11 日从 CPUID 官网下载安装 CPU-Z 和 HWMonitor 的用户直接重装系统,同时应当修改各类账户密码确保安全。
另外对于可以注销的网络会话 (例如 Chrome 浏览器登录状态),建议直接注销会话,这可以强制使任何被盗的令牌失效从而提升安全性。