2026 年 4 月 9 日至 10 日期间,知名硬件监控工具 CPU-Z 与 HWMonitor 的官方下载链路遭遇供应链攻击。攻击者通过入侵 CPUID 用于分发下载链接的辅助 API,将用户重定向至恶意 Payload 托管服务器,在约六小时的时间窗口内,向数百万用户分发被篡改的安装程序。这一事件暴露出硬件诊断工具在供应链安全层面的独特攻击面,值得安全团队深入剖析并制定针对性防御策略。
攻击事件的根本原因在于 CPUID 官网的下载分发机制存在安全盲区。攻击者并未直接篡改托管在 CPUID 服务器上的已签名二进制文件,而是入侵了负责生成动态下载链接的 API 端点。当用户访问 cpuid.com 并点击下载按钮时,API 返回的链接指向攻击者控制的代理服务器,而非官方原始文件存储位置。这种攻击手法与传统的软件供应链篡改存在本质区别 —— 它不依赖对签名二进制文件的直接修改,而是利用分发链路的信任关系缺陷,在用户与合法文件之间插入恶意中间层。
从技术层面分析,此次分发的恶意程序采用多阶段加载架构,具有显著的无文件攻击特征。首批 Payload 作为下载器运行,其主要功能是建立与远程命令控制服务器的通信链路,随后根据服务器指令动态拉取并执行后续恶意模块。这种设计使得传统基于静态文件特征码的防病毒产品难以有效检测,因为初始下载的 Payload 本身可能不具备明显的恶意行为特征,且后续 Payload 在内存中执行,不会在磁盘留下持久化痕迹。安全研究人员在分析受污染样本时观察到,恶意程序使用了进程注入与 DLL 侧载技术来规避行为检测,同时采用加密通信协议隐藏 C2 流量特征。
对于企业安全团队而言,此次事件提供了多个可操作的防御切入点。首先,应当建立软件供应链完整性验证机制,除去比对文件哈希值外,还应验证下载链路的来源可信度 —— 包括检查最终下载服务器域名是否属于厂商官方基础设施、下载链接是否经过正规 CDN 分发等。其次,在终端侧部署行为检测规则时,应重点关注以下高危信号:异常进程向非标准外部端口发起网络连接、新建非计划任务调度项、用户态进程尝试注入系统进程、PowerShell 或 CMD 进程执行 base64 编码命令等。这些行为在正常硬件监控工具的运行过程中几乎不会发生,但却是供应链恶意软件的典型活动特征。
从响应与处置角度,安全团队应立即排查是否存在员工在 2026 年 4 月 9 日至 10 日期间从 cpuid.com 下载并安装 CPU-Z 或 HWMonitor 的情况。若确认存在此类操作,建议执行以下标准响应流程:立即断开除管理网络外的所有网络连接,使用不少于两款不同厂商的端点安全产品进行全盘深度扫描,重点排查启动项、计划任务与注册表 Run 键值是否存在可疑项,必要时进行系统完整重装以消除隐匿的后门威胁。同时,应在此事件响应周期内将 CPUID 相关域名纳入网络边界监控的严格审查名单,阻断任何指向非官方域名的下载请求。
此次供应链攻击事件的深远意义在于揭示了硬件诊断工具作为攻击向量的独特价值。与通用业务软件不同,CPU-Z 与 HWMonitor 等工具通常被技术用户、系统管理员与硬件爱好者广泛使用,这些用户群体往往具备较高的系统权限且对安全警告的警觉性相对较低,使得恶意程序一旦成功部署便能获得相当可观的横向移动能力。安全团队应在供应链安全审计清单中为这类工具增加专项风险评估,纳入下载渠道验证、哈希校验自动化与终端行为基线建模等防护环节。