【 資安警訊 】- 硬體監控工具開發公司 CPUID 網站遭入侵,駭客藉此散布遠端存取木馬 STX RAT
發布編號:OIS-CTI-2026-04-003
情資來源: iThome、Kaspersky、The Hacker News、BleepingComputer
事件類型:供應鏈攻擊、水坑攻擊 (Watering Hole)、遠端存取木馬 (RAT)、DLL 側載 (Sideloading)
內容說明:
知名硬體監控工具 CPU-Z、HWMonitor 的供應商 CPUID 傳出網站遭到入侵。攻擊者於 2026 年 4 月 9 日 15:00 UTC 至 4 月 10 日 10:00 UTC 期間(約 19 小時),入侵了 CPUID 網站的後端 API,將 CPU-Z、HWMonitor、HWMonitor Pro 及 PerfMonitor 的下載連結置換為惡意網站,使使用者下載到被植入木馬的版本。
此事件的技術特性與威脅細節如下:
攻擊手法: 屬於水坑式供應鏈攻擊(Watering Hole Supply Chain Attack)。攻擊者入侵 CPUID 網站的次要 API,將合法下載連結隨機替換為惡意網站連結。惡意軟體以 ZIP 壓縮檔及獨立安裝程式兩種形式散布。
感染機制: 木馬化安裝程式內含惡意 DLL(CRYPTBASE.dll),透過 DLL Sideloading 技術載入。惡意程式採用五階段記憶體內執行鏈(反射式 PE 載入、XOR 解密、多層位元運算轉換),全程不寫入磁碟,難以被傳統防毒軟體偵測。
最終配載: 最終部署的惡意程式為 STX RAT,具備 HVNC 遠端控制、資訊竃取、內存中執行 EXE/DLL/PowerShell/Shellcode、反向代理/通道等功能。該惡意程式的 C2 域名與基礎設施與先前針對 FileZilla 的伽裝安裝程式攻擊相同。
影響規模: 據 Kaspersky 統計,已識別超過 150 名受害者,多數為個人用戶,但也有零售、製造、顾問、電信及農業等產業的組織受影響,主要分佈於巴西、俄羅斯與中國。
影響平台:
CPU-Z(cpuid.com 下載的安裝程式及 ZIP 檔)
HWMonitor / HWMonitor Pro
PerfMonitor 2
建議措施:
推測影響範圍並掃描: 確認組織內是否有人員於 4 月 9 日至 10 日期間從 cpuid.com 下載過 CPU-Z 或 HWMonitor。若有,應假設該系統已遭入侵,立即使用 EDR 工具進行掃描。
輪換所有懑證: 在受影響的機器上曾輸入或儲存的密碼應視為已洩露,特別是管理員帳號、電子郵件、VPN 及瀏覽器儲存的懑證,應立即更換並啟用多因子驗證。
檢查持久化機制: 檢查可疑機器的排程任務、啟動資料夾及登錄檔執行機碼(Registry Run Keys),排查下載時間點前後新增的異常項目。
強化下載管控: 將第三方軟體下載限制於 IT 核可的來源,並要求安裝前驗證檔案雜湊值(Hash)。目前 CPUID 已修復網站,提供乾淨版本下載,原始簽章檔案未受影響。
參考連結 :
https://www.ithome.com.tw/news/175007
https://securelist.com/cpu-z/119365/
https://thehackernews.com/2026/04/cpuid-breach-distributes-stx-rat-via.html