CPU-Z와 HWMonitor가 해킹으로 악성코드 배포에 이용됨

• 인기 시스템 유틸리티 HWMonitor와 CPU-Z의 다운로드 링크가 일시적으로 변조되어 악성코드가 배포됨
• 공격자는 CPUID 웹사이트의 백엔드 일부를 장악해 정상 설치 파일 대신 악성 파일을 무작위로 제공함
• 악성 버전은 가짜 CRYPTBASE.dll을 포함해 명령·제어 서버와 통신하며, PowerShell을 통해 메모리 내에서 실행되는 .NET 페이로드를 주입함
• CPUID는 침해 사실을 인정하고 6시간 내 수정 완료, 서명된 원본 파일은 손상되지 않았다고 발표함
• 이번 사건은 공급망 공격의 연장선으로, 코드 수정 없이도 배포 경로만으로 피해를 유발할 수 있음을 보여줌

CPUID 웹사이트 해킹으로 HWMonitor 다운로드가 악성코드로 교체됨

• CPUID 웹사이트가 일시적으로 해킹되어 HWMonitor와 CPU-Z의 다운로드 링크가 악성코드 배포 경로로 변조됨
  • 공격자는 백엔드 일부를 장악해 정상 링크를 무작위로 악성 파일로 교체
  • 일부 사용자는 설치 파일이 안티바이러스 경고를 유발하거나 비정상적인 파일명으로 표시된다고 보고함
• HWMonitor 1.63 업데이트 링크가 “HWiNFO_Monitor_Setup.exe”라는 잘못된 파일로 연결되는 사례가 확인되어, 상류 단계의 변조가 의심됨
  • Reddit 등 커뮤니티에서 다수의 사용자가 문제를 인지하고 경고를 공유함
• CPUID는 이후 공식적으로 침해 사실을 인정, 소프트웨어 빌드 자체가 아닌 보조 API(백엔드 구성요소) 가 약 6시간 동안 침해되었다고 설명
  • 사건은 4월 9일부터 10일 사이에 발생했으며 현재는 수정 완료
  • 서명된 원본 파일은 손상되지 않았다고 명시함
• 악성 설치 파일은 64비트 HWMonitor 사용자를 대상으로 하며, Windows 구성요소처럼 보이는 가짜 CRYPTBASE.dll을 포함함
  • 해당 DLL은 명령·제어(C2) 서버에 접속해 추가 페이로드를 다운로드
  • 악성코드는 디스크에 흔적을 남기지 않기 위해 PowerShell을 이용해 메모리 내에서 실행, 피해자 시스템에서 .NET 페이로드를 컴파일 후 다른 프로세스에 주입
  • Chrome IElevation COM 인터페이스를 통해 브라우저 저장 자격 증명에 접근하는 행위도 관찰됨
• 분석 결과, 이번 공격은 과거 FileZilla 사용자를 노린 캠페인과 동일한 인프라를 활용한 것으로 확인됨
  • vx-underground 분석에 따르면 동일한 공격자 그룹이 여러 소프트웨어 배포망을 악용한 정황이 존재함
• CPUID는 문제를 해결했다고 밝혔으나, API 접근 경로와 감염된 사용자 수는 아직 공개되지 않음
  • 이번 사건은 공격자가 코드 자체를 수정하지 않고도 배포 경로만으로 피해를 유발할 수 있음을 보여주는 사례로 평가됨