近日,一起针对知名硬件监测工具的供应链攻击事件引发广泛关注。市面上广受硬件爱好者信赖的两款系统信息工具——cpu-Z 与 HWMonitor,其官方下载页面虽表面正常,但页面内嵌的下载链接实际已被篡改,所分发的安装包并非官方原版。这一安全风险由两位 Reddit 用户 DMkiIIer 与 OthoAi5657 首先发现,并迅速获得网络安全研究组织 vx-underground 在 X 平台的公开证实。
经核查,这些被篡改的下载链接看似无异,但实际行为极具迷惑性:下载所得文件虽能正常运行、界面完整,却存在多项异常特征。例如,安装程序默认语言强制设为俄语;安装界面所用封装引擎与 CPUID 及 HWMonitor 官方长期使用的版本明显不同;更关键的是,该文件一经下载或执行,主流杀毒软件便会立即触发高危告警。尤为容易引发误判的是,其文件名被刻意伪装为 “HWiNFO_Monitor_Setup.exe”,导致部分用户误以为 HWiNFO 工具也遭污染。需明确澄清:HWiNFO 官方未受影响,此次攻击与 HWiNFO 完全无关。
此次事件远非一次简单的官网页面劫持。vx-underground 指出:“这并非市面上常见的通用恶意软件,而是一类高度定制化、深度木马化的威胁。”该恶意载荷通过已被入侵的域名分发,具备强伪装能力,采用多阶段加载机制,绝大多数逻辑均在内存中完成执行,几乎不落地写入磁盘;同时,它还集成多种高级规避技术,包括但不限于:从 .NET 程序集中动态代理调用 ntdll.dll 的底层系统函数,以绕过端点检测与响应系统(EDR)及传统杀毒引擎的静态与行为分析。
值得注意的是,vx-underground 进一步确认,本次攻击手法与今年 3 月初伪装成 FileZilla 安装包传播的恶意活动出自同一威胁组织。“近期该组织活跃度显著上升,攻击节奏密集。”此前,FileZilla 官方也曾遭遇类似入侵,此次波及 CPU-Z 与 HWMonitor,印证了其将目标锁定于高信任度、高普及率的 PC 基础工具软件的战术意图。若 CPUID 与 FileZilla 的入侵确系同一团伙所为,则其他同类热门工具(如 CrystalDiskInfo、Open Hardware Monitor、MSI Afterburner 等)极可能成为其后续攻击目标。
面对此类隐蔽性强、危害性高的供应链攻击,用户需采取多层次防御策略。首要建议是:务必启用并定期更新可靠的终端防护软件(含 EDR 或下一代防病毒产品),并对所有外部下载的可执行文件、压缩包执行实时与手动扫描。其次,对于 CPU-Z、HWMonitor 等高频使用的基础工具,强烈推荐采用“交叉验证法”——即从多个可信渠道(如官网主站、GitHub 官方仓库、知名开源镜像站等)分别获取安装包,比对三要素:文件名是否符合官方命名规范(如 hwmonitor_1.63.exe)、文件大小是否完全一致、数字签名是否由合法发布者(CPUID SAS 或 REALTEK Semiconductor Corp. 等)签发且状态有效。正版文件在上述维度上必严格统一。
目前,CPUID 已就此事向科技媒体 Cybernews 发布正式声明:“经初步调查,本次安全事件源于网站一项次级功能(本质为配套 API 接口)于 4 月 9 日至 4 月 10 日间遭到约 6 小时的短暂入侵。在此期间,主站页面会随机展示恶意下载链接。需要强调的是:我们所有带官方数字签名的原始安装文件本身未被篡改,完整性完好。该安全漏洞现已定位并完成修复,相关服务恢复正常。”
安全无小事,尤其当攻击者将矛头指向用户每日依赖的“可信基石”软件时,保持警惕、坚持验证、及时响应,才是守护数字资产最坚实的第一道防线。
文章内容来源于网络,不代表本站立场,若侵犯到您的权益,可联系多特删除。(联系邮箱:[email protected])
近期热点
最新资讯
举报
