2026年4月10日,Reddit硬件板块突然涌入数十条异常帖子:用户从cpuid.com官方下载的HWMonitor 1.63,文件名变成了HWiNFO_Monitor_Setup.exe。这个细节像一颗生锈的钉子——两个品牌被强行缝合在一起,而下载者毫无察觉。
3个月。这是恶意软件在官方渠道潜伏的时长。从2026年1月初到4月中旬,任何点击"官方下载"按钮的用户,都可能把特洛伊木马请进系统。
文件名里的心理战:两个信任品牌的强行缝合
HWiNFO和HWMonitor是硬件监控领域的双巨头。前者以深度传感器读取著称,后者凭借轻量简洁占据装机量榜首。攻击者把两者名字拼成HWiNFO_Monitor_Setup.exe,精准踩中用户的认知捷径——看到熟悉的关键词,手指已经点了保存。
Chris Titus在X平台(原Twitter)上发布了技术分析:「这不是普通的恶意软件。它深度特洛伊化,从被入侵的域名分发,执行内存驻留绕过杀毒软件。」他的测试显示,下载的"安装包"会释放cryptbase.dll,通过DLL劫持技术获得持久化执行能力。
Windows Defender在部分用户设备上触发了警报,但更多人看到的是俄语界面的Inno Setup安装向导。VirusTotal多引擎扫描显示阳性标记,但内存执行技术让传统文件系统检测形同虚设。
基础设施的裂缝:同一软件的两条下载路径
CPUID网站的技术架构暴露了一个关键不对称点。HWMonitor 1.63的setup安装包走download.cpuid.com子域名,而ZIP压缩包直接指向Cloudflare R2对象存储。两条路径,两个攻击面。
安全研究者推测,入侵点更可能是CPUID后端下载路径被重定向或替换,而非HWiNFO项目本身被攻破。这个区分很重要——HWiNFO官网当前稳定版是8.44(2026年3月4日发布),版本历史完整,镜像站点多重验证。
2026年1月Bitdefender曾误报HWiNFO,后被撤回。那次是杀毒引擎的误判,这次是供应链的真沦陷。
内存里的猫鼠游戏:为什么杀毒软件沉默了
传统杀毒软件扫描文件系统,像保安检查进出大楼的人员。但这次的恶意载荷玩的是"内部渗透"——直接注入内存执行,不落地硬盘,或者落地的是经过混淆的DLL组件。
cryptbase.dll是Windows系统合法组件的名字。攻击者用这个文件名做掩护,把恶意代码塞进系统目录,利用系统自身的加载机制触发执行。这种"寄生"手法让行为监控变得困难:程序看起来在调用正常的系统功能,实际却在连接攻击者控制的服务器。
社区反馈显示,部分用户下载时收到的是hwmonitor_1.63.exe,部分是HWiNFO_Monitor_Setup.exe。这种分流可能基于地理位置、访问时间或请求头信息,暗示后端存在动态重定向逻辑。
供应链攻击的残酷算术:信任即攻击向量
CPUID的CPU-Z和HWMonitor是装机必备工具。TechPowerUp数据库显示,CPU-Z下载量超过1亿次,HWMonitor月活跃用户数以百万计。这些用户是谁?超频玩家、硬件评测师、企业IT管理员、数据中心运维——恰恰是掌握高价值系统访问权限的人群。
供应链攻击的恐怖之处在于规模效应。不需要钓鱼邮件,不需要社工话术,用户主动找上门来,带着管理员权限运行"官方软件"。攻击成本摊薄到接近零,而收益天花板是受影响用户的全部数字资产。
目前CPUID尚未发布正式安全公告。网站在4月10日后短暂下线维护,恢复后下载链接指向的版本号出现混乱。部分用户报告下载到1.62版本,部分仍能看到1.63。
HWiNFO官方在社交媒体澄清:「我们的基础设施未被入侵,当前版本8.44是安全的。」但品牌名称被冒用造成的信任损耗,无法通过声明修复。
这场事件留下一个悬而未决的问题:当用户学会检查数字签名、验证哈希值、对比文件大小之后,攻击者会不会已经进化到连这些验证环节都能伪造?下一次,文件名可能不再拼错,界面语言可能是完美的英语,而恶意代码会藏在更深的地方。
你上次检查下载文件的数字签名,是什么时候?
热门跟贴