Сайт разработчика HWMonitor и CPU-Z взломали, пользователям подсовывали вредоносный файл

1 час назад / Технологии → Новости / Технологии

Сайт компании CPUID, создателя популярных утилит для мониторинга оборудования HWMonitor и получения системной информации CPU-Z, был взломан неизвестными злоумышленниками. В результате пользователи, пытавшиеся скачать эти инструменты, получали заражённый файл.

Как сообщает кибербезопасный исследовательский коллектив vx-underground в X (ранее Twitter), злоумышленники скомпрометировали домен cpuid.com. Пользователям, пытавшимся скачать последнюю версию утилит, подсовывали скомпрометированный установщик с домена supp0v3-dot-com, который также использовался в кампании по распространению вредоносного ПО в марте 2026 года. Как отметил один из пользователей Reddit, при попытке скачать последнюю версию HWMonitor (hwmonitor_1.63.exe) файл подменялся на HWiNFO_Monitor_Setup.exe.

Да, в общем, это так. Вредоносное ПО — настоящая головная боль. Мне пришлось потратить немало времени, чтобы попытаться его обезвредить и восстановить некоторые его части. Тот, кто разработал это вредоносное ПО, действительно заботится об уклонении от обнаружения и принял ряд разумных решений при его создании...

Похоже, основной целью вредоносной программы была кража учетных данных из браузеров. В частности, она пыталась получить доступ к интерфейсу IElevation COM в Google Chrome, чтобы извлечь и расшифровать сохранённые пароли. Вредоносное ПО относительно сложное. Как отмечает vx-underground в другом посте, оно было глубоко троянизировано и использует интересные методы для уклонения от систем обнаружения и реагирования на конечных точках (EDR) и антивирусов. Хакеры, стоящие за атакой, скомпрометировали один из самых популярных инструментов среди энтузиастов и профессионалов ПК, чтобы провести атаку на цепочку поставок.

Разработчик этих утилит, Самуэль Демёлеместер (Samuel Demeulemeester), опубликовал заявление в X, сообщив, что расследование инцидента продолжается. По предварительным данным, был скомпрометирован побочный API примерно на шесть часов, что привело к перенаправлению ссылок для скачивания на вредоносные файлы. Однако оригинальные подписанные файлы CPUID не были затронуты, а уязвимость уже устранена.

Учитывая популярность HWMonitor и CPU-Z, многие люди, вероятно, успели скачать заражённые файлы в течение этого относительно короткого промежутка времени. Защитник Windows (Windows Defender) обычно перехватывал вредоносное ПО до его установки, а те, кто обошёл защиту, могли заметить странную русскоязычную программу установки. Тем не менее, существует небольшая вероятность, что кто-то всё же завершил установку, и его система, включая сохранённые учётные данные, была скомпрометирована.

Атаки на цепочку поставок программного обеспечения в последнее время набирают популярность как метод распространения вредоносного ПО. Например, одна из самых популярных библиотек JavaScript недавно была атакована для распространения кроссплатформенных троянов удалённого доступа в конце марта, а неофициальный сайт 7-Zip был скомпрометирован в январе 2026 года для заражения ПК, скачивавших популярный архиватор, и включения их в прокси-ботнет. Под угрозой могут оказаться даже серверы обновлений — именно это произошло с Notepad++ в июне 2025 года, когда пользователи, обновлявшие приложение через встроенный механизм, получали заражённые версии.

ИИ: Этот инцидент — очередное серьёзное напоминание о том, что даже доверенные источники ПО могут быть временно скомпрометированы. В 2026 году атаки на цепочки поставок стали излюбленным инструментом киберпреступников, стремящихся получить максимальный охват. Пользователям стоит всегда проверять цифровые подписи файлов от известных разработчиков и быть особенно внимательными при скачивании, даже с официальных сайтов.