Kyberútok presmeroval sťahovanie CPU Z a HWMonitor utilít na malvér

Kybernetický incident zasiahol firmu CPUID, známu ako autora populárnych nástrojov CPU-Z a HWMonitor. Počas približne šiestich hodín mali byť odkazy na stiahnutie na oficiálnom webe presmerované na škodlivé súbory, takže časť používateľov si namiesto legitímnych verzií mohla stiahnuť infikované inštalátory. Incident už bol odstránený, no prípad patrí medzi ďalšie útoky na dodávateľský reťazec softvéru.

Podľa vyjadrenia Samuela Demeulemeestera z CPUID neboli kompromitované podpísané originálne súbory priamo vo firme. Problém mal vzniknúť v napadnutej vedľajšej API časti webu, ktorá dočasne odkazovala na škodlivé balíky. To znamená, že útok nesmeroval na samotný build aplikácií, ale na distribučnú cestu, cez ktorú sa používatelia dostávali k stiahnutiu.

Prvé hlásenia upozorňovali na to, že namiesto správnych verzií sa používateľom ponúkali podozrivé súbory. V jednom z prípadov sa pri HWMonitor 1.63 objavil inštalátor s iným názvom, než by sa očakávalo. Bezpečnostná komunita následne začala rozoberať aj technické pozadie útoku a naznačila, že nešlo len o jednoduché podvrhnutie jedného EXE súboru.

Podľa zverejnených analýz mal byť škodlivý balík vybavený falošnou knižnicou CRYPTBASE.dll, ktorá sa tvárila ako legitímna systémová súčasť Windows. Práve cez ňu sa mali sťahovať ďalšie fázy malvéru a komunikovať s riadiacou infraštruktúrou útočníkov. Výskumníci zároveň uvádzajú, že kód využíval aj PowerShell, dynamické sťahovanie ďalších častí a techniky spúšťania v pamäti, čo sťažuje detekciu aj reverznú analýzu. Tieto technické detaily však zatiaľ pochádzajú najmä z analýz bezpečnostnej komunity, nie z oficiálneho technického rozboru od CPUID.

Yeah, so pretty much this https://t.co/Mwm1F8xKWT malware is a pain in the ass. I'd have to spend a good bit of time trying to bonk it with a stick and reconstruct some of it. Whoever developed this malware actually cares about evasion and made some intelligent decisions when… pic.twitter.com/XDJEhN4FDe

- vx-underground (@vxunderground) April 10, 2026

Doterajšie zistenia naznačujú, že hlavným cieľom útoku bola krádež dát, najmä prihlasovacích údajov uložených v prehliadačoch. Analýzy spomínajú pokusy o prístup k uloženým heslám v Google Chrome cez rozhranie IElevation COM. Aj prvé mediálne správy sa zhodujú, že nešlo o ničivý ransomvér, ale skôr o stealer zameraný na zber citlivých údajov používateľov.

Zaujímavé je aj možné prepojenie na skoršiu malvérovú infraštruktúru. Pri incidente sa objavila doména supp0v3-dot-com, ktorá bola spájaná aj s marcovou kampaňou zameranou na falošné balíky FileZilla. Malwarebytes vtedy opisoval podobný princíp, pri ktorom bol legitímny softvér doplnený o škodlivú DLL. To síce samo osebe nepotvrdzuje rovnakého útočníka, ale ukazuje to na podobné postupy alebo opätovné využitie rovnakej infraštruktúry.

Celý prípad je nepríjemný aj preto, že CPU-Z a HWMonitor patria medzi dlhodobo najpoužívanejšie utility na diagnostiku a monitoring PC hardvéru. Práve dôvera v známy nástroj a jeho oficiálny web robí tento typ útoku nebezpečným. Používateľ totiž nemusel navštíviť žiadnu pochybnú stránku, stačilo, že si aplikáciu stiahol v nesprávnom čase z bežne dôveryhodného zdroja.

Ak si niekto sťahoval HWMonitor alebo CPU-Z počas problematického obdobia medzi 9. a 10. aprílom 2026, mal by systém okamžite skontrolovať bezpečnostným nástrojom a zvážiť aj zmenu hesiel k dôležitým účtom. Platí to najmä v prípade, ak bol podozrivý inštalátor aj spustený. Pri podobných útokoch sa totiž často cieli práve na prihlasovacie údaje uložené v prehliadači.

Prípad CPUID zároveň pripomína, že útoky na dodávateľský reťazec sú čoraz častejšie. Útočníci nemusia presviedčať ľudí, aby si niečo stiahli z pochybných fór alebo warez stránok. Stačí kompromitovať distribučný bod, ktorému používatelia dôverujú, a škodlivý kód sa k nim dostane cez úplne bežný proces sťahovania alebo aktualizácie. Pri populárnych utilitách je to o to účinnejšie.