4月9日到10日之間，全球數(shù)百萬依賴CPU-Z、HWMonitor等工具檢測硬件的用戶，在毫不知情的情況下點擊了一個被篡改的下載按鈕。6小時后，這個漏洞被修復(fù)，但種子已經(jīng)播下。

CPUID.com的維護(hù)團(tuán)隊向BleepingComputer確認(rèn)：一個次級API接口被攻破，主站隨機展示惡意下載鏈接，而官方簽名的原始文件本身未被污染。

這句話的潛臺詞是：你以為自己下載的是正版軟件，實際上拿到的是包裝精美的"特洛伊木馬"——外殼合法，內(nèi)核有毒。

攻擊手法：DLL側(cè)加載的"借殼上市"

卡巴斯基實驗室還原了被篡改的四款軟件版本：CPU-Z 2.19、HWMonitor Pro 1.57、HWMonitor 1.63、PerfMonitor 2.04。這些安裝包并非完全偽造，而是采用了更隱蔽的"借殼"策略。

攻擊者在合法簽名的可執(zhí)行文件旁，塞入一個名為CRYPTBASE.dll的惡意動態(tài)鏈接庫。當(dāng)用戶啟動軟件時，Windows會優(yōu)先加載同目錄下的這個DLL文件，而非系統(tǒng)目錄中的正版組件。

「這個惡意DLL負(fù)責(zé)命令與控制（C2）連接和后續(xù)載荷執(zhí)行，」卡巴斯基在報告中指出，「在此之前，它還會執(zhí)行一系列反沙箱檢測，只有全部通過才會連接C2服務(wù)器。」

換句話說，如果你在虛擬機或分析環(huán)境中運行它，它會選擇靜默潛伏，絕不暴露真實意圖。

內(nèi)存駐留+EDR繞過：這不是腳本小子的作品

安全研究者vxunderground在分析后給出了一個判斷：「這不是那種批量生產(chǎn)的平庸惡意軟件。」

他的原話更直白：「當(dāng)我開始用棍子捅它的時候，發(fā)現(xiàn)這東西被深度木馬化了。」

Igor's Labs和vxunderground團(tuán)隊總結(jié)的惡意軟件特征，讀起來像一份"高級威脅行為者"的體檢報告：從被攻陷的合法域名分發(fā)、文件偽裝、多階段加載、幾乎完全在內(nèi)存中運行，再到用.NET程序集代理NTDLL功能以繞過端點檢測與響應(yīng)（EDR）和殺毒軟件。

最后這項技術(shù)值得拆開說：NTDLL是Windows內(nèi)核與用戶模式之間的橋梁，大多數(shù)安全軟件會監(jiān)控對它的調(diào)用。攻擊者選擇從.NET程序集"繞路"代理這些功能，相當(dāng)于在安檢口旁邊挖了一條地下通道。

VirusTotal的檢測數(shù)據(jù)顯示，目前20款殺毒引擎已能識別該惡意軟件。但這個數(shù)字的反面是：在攻擊發(fā)生的6小時窗口期內(nèi)，這些引擎集體沉默。

供應(yīng)鏈攻擊的"中間人"變體

這次事件不屬于傳統(tǒng)的軟件供應(yīng)鏈污染——代碼倉庫沒被入侵，構(gòu)建系統(tǒng)沒被篡改，數(shù)字簽名證書也沒被盜。它更像一種"中間人"攻擊的變體：攻擊者沒有碰軟件本身，只是換了指向它的路標(biāo)。

對于普通用戶來說，這種攻擊更難防范。你檢查了文件簽名，它有效；你從官網(wǎng)下載，域名正確；你甚至可能在下載前掃了VirusTotal，當(dāng)時還是干凈的。

CPUID的維護(hù)團(tuán)隊強調(diào)"原始文件未被 compromise"，這在技術(shù)層面成立，但在用戶體驗層面近乎詭辯。用戶不關(guān)心服務(wù)器上的原始文件是否圣潔，他們關(guān)心的是自己硬盤里跑起來的那個進(jìn)程。

一個值得追問的細(xì)節(jié)是：那個被攻破的"次級API"究竟是什么？是CDN配置、負(fù)載均衡規(guī)則，還是某個被遺忘的微服務(wù)？CPUID尚未披露，而攻擊者顯然找到了它。

硬件檢測工具的用戶畫像很清晰：極客、玩家、IT運維、評測媒體。這群人通常自認(rèn)為安全意識高于平均水平，卻恰恰因為"我從官網(wǎng)下的"而放松了警惕。這次事件像一記耳光：官網(wǎng)≠安全，簽名≠可信，習(xí)慣比知識更危險。

CPUID.com現(xiàn)已清理完畢。但那些在這6小時內(nèi)完成下載安裝的用戶，有多少已經(jīng)運行了惡意DLL？他們的C2連接記錄又流向了哪里？