Un atac cibernetic grav a compromis site-ul oficial al dezvoltatorului de software CPUID, distribuind malware în locul unor programe populare de monitorizare a sistemului, precum HWMonitor și CPU-Z. Incidentul, care pare să fi vizat infrastructura de distribuție a companiei franceze, a expus zeci de milioane de utilizatori la riscuri semnificative de securitate.
Compromiterea site-ului și efectele sale
Problema a fost raportată inițial de utilizatori pe platforme online, care au observat comportamente suspecte la descărcarea actualizărilor pentru HWMonitor. În loc să fie redirecționați către paginile oficiale, utilizatorii erau îndrumați către un site extern, care oferea un fișier suspect, prezentat sub numele HWiNFO_Monitor_Setup.exe. Executarea acestuia declanșa o interfață în limba rusă, sugerând o potențială compromitere.
Investigațiile au arătat că link-urile de descărcare de pe site-ul oficial CPUID redirecționau utilizatorii către un domeniu extern, găzduit pe Cloudflare R2, în loc de infrastructura normală a companiei. Acest domeniu găzduia un program de instalare infectat cu malware, ambalat într-un pachet modificat Inno Setup, o tehnică utilizată frecvent pentru a ascunde încărcături malițioase. Cercetătorii în securitate au confirmat comportamentul rău intenționat al fișierelor, malware-ul fiind sofisticat și conceput pentru a fura date de autentificare ale browser-ului. Malware-ul încerca să acceseze interfața COM IElevation a Google Chrome pentru a extrage și decripta parolele salvate.
Reacția și investigarea incidentului
CPUID a afirmat că problema a fost rezolvată, dar nu a oferit detalii despre modalitatea prin care atacatorii au accesat API-ul sau despre numărul exact de utilizatori afectați. Samuel Demeulemeester, dezvoltatorul instrumentelor, a declarat pe platforma X că o interfață API secundară a fost compromisă timp de aproximativ șase ore, ceea ce a dus la conectarea site-ului la fișierele rău intenționate. Fișierele originale semnate de CPUID nu au fost afectate, iar remedierea a fost efectuată.
Analize suplimentare au indicat că și descărcările pentru CPU-Z ar fi putut fi compromise. Unii utilizatori au raportat detectări antivirus la descărcarea programelor de instalare CPU-Z, instabilitate a sistemului și simptome compatibile cu execuția malware-ului.
VX-Underground a confirmat că cpuid.com distribuia activ malware la momentul investigației. Conform raportului, încărcătura nu era una obișnuită, ci un implant sofisticat, în mai multe etape, conceput pentru a fi ascuns și persistent. Malware-ul funcționa în mare parte în memorie și utiliza tehnici avansate de evitare a detecției.
Importanța securității în lanțul de aprovizionare
Incidentul subliniază vulnerabilitățile atacurilor asupra lanțului de aprovizionare, o tehnică în creștere pentru răspândirea malware-ului. Atacatorii au demonstrat că nu este necesar să modifice codul pentru a cauza daune semnificative. Atacurile similare au vizat în trecut biblioteci JavaScript populare și site-uri web neoficiale. Mai mult, chiar și actualizările oficiale ale aplicațiilor pot fi compromise, cum s-a întâmplat cu Notepad++ în 2025.
Având în vedere popularitatea HWMonitor și CPU-Z, mulți utilizatori au descărcat probabil fișierele infectate în perioada în care site-ul a fost compromis. Este de menționat că Windows Defender a detectat de obicei malware-ul înainte de instalare, dar există posibilitatea ca unii utilizatori să fi fost infectați și să-și fi compromis sistemele și datele de autentificare. Autoritățile competente nu au emis încă un comunicat oficial cu privire la acest subiect.
