Des attaquants ont obtenu un accès non autorisé à une API associée au projet **CPUID**, entraînant la distribution de malwares via des liens de téléchargement manipulés sur le site officiel. Les logiciels concernés incluent les outils très utilisés **CPU-Z** et **HWMonitor**, sur lesquels des millions d'utilisateurs comptent pour la surveillance matérielle et l'analyse des spécifications système. ### Téléchargements vérolés Des signalements ont émergé sur Reddit, indiquant que le portail de téléchargement officiel redirigeait les utilisateurs vers un service de stockage **Cloudflare** R2, servant une version vérolée de **HWiNFO**, un outil de diagnostic et de surveillance développé par un autre fournisseur. Le fichier malveillant, nommé `HWiNFO_Monitor_Setup`, présente un comportement suspect, notamment le lancement d'un installateur russe encapsulé dans Inno Setup. Cela s'écarte du processus d'installation habituel et soulève d'importantes inquiétudes. Les utilisateurs ont noté qu'il était toujours possible de télécharger le véritable `hwmonitor_1.63.exe` directement depuis son URL, suggérant que les binaires originaux n'avaient pas été directement compromis. Cependant, les liens de distribution étaient clairement empoisonnés pour servir la charge utile malveillante. ### Chargeur avancé Les chercheurs en sécurité d'Igor's Labs et @vxunderground ont confirmé la chaîne de téléchargement externalisée, soulignant l'implication d'un chargeur sophistiqué employant des techniques, tactiques et procédures (TTPs) connues. > « En commençant à examiner cela de plus près, j'ai découvert qu'il ne s'agissait pas d'un malware typique et banal. » > « Ce malware est profondément vérolé, se distribue depuis un domaine compromis (cpuid-dot-com), effectue un masquage de fichiers, est multi-étapes, fonctionne (presque) entièrement en mémoire, et utilise des méthodes intéressantes pour échapper aux EDR et/ou aux AV, comme le proxying de la fonctionnalité NTDLL à partir d'un assembly .NET. » ### Ciblage d'utilitaires largement utilisés Le même groupe de menaces est soupçonné d'avoir ciblé les utilisateurs de la solution FTP **FileZilla** le mois dernier, indiquant une tendance à cibler les utilitaires largement adoptés pour maximiser l'impact. L'archive ZIP malveillante a été signalée par plusieurs moteurs antivirus sur **VirusTotal**, certains l'identifiant comme Tedy Trojan ou Artemis Trojan. Certains chercheurs estiment que la fausse variante de **HWiNFO** est un infostealer. ### Réponse de CPUID **CPUID** a publié une déclaration reconnaissant la violation : > « Les investigations sont toujours en cours, mais il semble qu'une fonctionnalité secondaire (essentiellement une API secondaire) ait été compromise pendant environ six heures entre le 9 et le 10 avril, provoquant l'affichage aléatoire de liens malveillants sur le site principal (nos fichiers originaux signés n'ont pas été compromis). La violation a été détectée et corrigée depuis. » - **CPUID** **CPUID** a également noté que l'incident s'est produit pendant les vacances du développeur principal. Actuellement, **CPUID** affirme avoir résolu le problème et distribue désormais des versions propres de **CPU-Z** et **HWMonitor**.