CPU-Z और HWMonitor हैकिंग के जरिए malware वितरण के लिए इस्तेमाल किए गए

 (theregister.com)
3 पॉइंट द्वारा GN⁺ 2026-04-12 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • लोकप्रिय सिस्टम utility HWMonitor और CPU-Z के download links को अस्थायी रूप से बदलकर malware वितरित किया गया
  • हमलावरों ने CPUID वेबसाइट के backend के एक हिस्से पर कब्ज़ा कर लिया और सामान्य installer files की जगह यादृच्छिक रूप से malicious files उपलब्ध कराईं
  • malicious version में नकली CRYPTBASE.dll शामिल थी, जो command-and-control server से संचार करती है और PowerShell के ज़रिए मेमोरी में चलने वाला .NET payload inject करती है
  • CPUID ने breach को स्वीकार करते हुए कहा कि 6 घंटे के भीतर समस्या ठीक कर दी गई, और signed original files से छेड़छाड़ नहीं हुई
  • यह घटना supply chain attack के विस्तार की तरह है, जो दिखाती है कि code बदले बिना भी केवल distribution path के जरिए नुकसान पहुँचाया जा सकता है

CPUID वेबसाइट हैक होने से HWMonitor download malware से बदल दिया गया

  • CPUID वेबसाइट को अस्थायी रूप से हैक कर HWMonitor और CPU-Z के download links को malware distribution path में बदल दिया गया
    • हमलावरों ने backend के एक हिस्से पर नियंत्रण कर सामान्य links को यादृच्छिक रूप से malicious files से बदल दिया
    • कुछ users ने बताया कि installer file पर antivirus warning आती थी या उसका filename असामान्य दिखता था
  • HWMonitor 1.63 update link के “HWiNFO_Monitor_Setup.exe” नाम की गलत file पर जाने का मामला सामने आया, जिससे upstream स्तर पर छेड़छाड़ की आशंका बढ़ी
    • Reddit जैसे community platforms पर कई users ने समस्या पहचानकर चेतावनी साझा की
  • CPUID ने बाद में आधिकारिक रूप से breach स्वीकार किया और बताया कि software build नहीं, बल्कि auxiliary API (backend component) लगभग 6 घंटे तक compromise हुआ था
    • यह घटना 9 अप्रैल से 10 अप्रैल के बीच हुई और अब ठीक कर दी गई है
    • कंपनी ने स्पष्ट किया कि signed original files से छेड़छाड़ नहीं हुई
  • malicious installer file 64-bit HWMonitor users को निशाना बना रही थी और इसमें Windows component जैसा दिखने वाला नकली CRYPTBASE.dll शामिल था
    • यह DLL command-and-control (C2) server से जुड़कर अतिरिक्त payload डाउनलोड करती है
    • malware डिस्क पर निशान न छोड़ने के लिए PowerShell का उपयोग कर मेमोरी में चलता है, victim system पर .NET payload compile कर दूसरे process में inject करता है
    • Chrome IElevation COM interface के जरिए browser में saved credentials तक पहुँचने की गतिविधि भी देखी गई
  • विश्लेषण के अनुसार, इस हमले में पहले FileZilla users को निशाना बनाने वाले campaign जैसी ही infrastructure का उपयोग किया गया
    • vx-underground के विश्लेषण के मुताबिक, उसी attacker group द्वारा कई software distribution networks के दुरुपयोग के संकेत मिले हैं
  • CPUID ने कहा कि समस्या हल कर दी गई है, लेकिन API access path और संक्रमित users की संख्या अभी सार्वजनिक नहीं की गई
    • इस घटना को ऐसे उदाहरण के रूप में देखा जा रहा है जो दिखाती है कि हमलावर code को बदले बिना भी केवल distribution path के जरिए नुकसान पहुँचा सकते हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-04-12
Hacker News की राय

  • CPU-Z के maintainer Sam ने खुद स्थिति समझाई। Franck की गैरमौजूदगी में वे सर्वर की जांच कर रहे हैं, और VirusTotal लिंक के आधार पर यह पुष्टि हुई कि सर्वर की फाइलें सामान्य थीं। लेकिन कुछ लिंक से छेड़छाड़ की गई थी और वे malicious installer file की ओर ले जा रहे थे, और यह लगभग 6 घंटे तक (09/04~10/04 GMT) exposed रहा। अभी लिंक बहाल कर दिए गए हैं और आगे की जांच के लिए साइट को read-only mode में डाल दिया गया है

    • एक ऐसे व्यक्ति के रूप में जिसने पहले CPU review लिखे हैं, मैं यह कह सकता हूँ कि Sam और Franck दोनों भरोसेमंद लोग हैं। Franck, CPUID के मुख्य व्यक्तियों में से हैं और Sam Canard PC तथा Memtest project के लिए भी जाने जाते हैं
    • अच्छा हुआ कि समस्या जल्दी पकड़ में आ गई और लिंक ठीक कर दिए गए। सच कहूँ तो शुरुआत में मुझे लगा था कि cpuid.com के ad banner ही समस्या हैं। डाउनलोड पेज पर “Download Now”, “Install for Windows 10/11” जैसे नकली बटन बहुत ज्यादा हैं। इसलिए मैं ऐसी स्थिति में winget install CPUID.CPU-Z कमांड को प्राथमिकता देता हूँ
    • पिछले कुछ हफ्तों में Discord या दूसरी chats में availability notification के दुरुपयोग से timing attack होने का यह तीसरा मामला देखा है
    • यह हमला आखिर कैसे किया गया, यह जानने की उत्सुकता है

  • डाउनलोड के बाद Windows Defender ने तुरंत virus detect किया, लेकिन आम तौर पर false positive बहुत आते हैं इसलिए उसे नजरअंदाज कर दिया गया—ऐसा एक मामला सामने आया। ऐसे false positive का एक दुष्प्रभाव यह है कि वे security alertness को कुंद कर देते हैं

    • मुझे लगता है कि इसमें Microsoft की भी कुछ जिम्मेदारी है। Defender जब सिर्फ “Win32/Keygen” जैसे कारण देकर crack files को block करता है, तो users में antivirus disable करने की आदत पड़ जाती है। नतीजा यह होता है कि बाद में असली malware भी निकल जाता है
    • source-based distribution या reproducible builds के जरिए ऐसी समस्याओं को कम किया जा सकता है
    • ऐसी स्थिति रोकने के लिए एक भरोसेमंद Windows app store या package manager की जरूरत है

  • जो लोग नया version software आते ही तुरंत install कर लेते हैं, उन्हें व्यंग्य में “human shield” कहा गया

    • लेकिन CPU-Z या HWMonitor को अक्सर नया PC सेटअप करने के तुरंत बाद hardware जांचने के लिए इस्तेमाल किया जाता है। यह npm package की तरह experimental update test करना नहीं, बस latest version लेना है
    • अच्छा होगा अगर users को software की safety reputation बताने वाला कोई tool हो। Crowdstrike या SAST tools तो install होने के बाद detection तक ही सीमित रहते हैं
    • लेकिन सिर्फ इसलिए कि कोई version एक महीना पुराना है, यह मान लेना सुरक्षित नहीं है। हमलावर कई महीने बाद भी malicious behavior शुरू कर सकते हैं

  • इस बार प्रभावित प्रोग्राम HWMonitor था, और official page वाला प्रोग्राम HWInfo से अलग है। Reddit पर भी यही विषय चर्चा में है

  • installer file खुद सामान्य थी, लेकिन साइट के लिंक से छेड़छाड़ कर उन्हें Cloudflare R2 पर मौजूद malicious executable की ओर मोड़ा गया। आगे root cause analysis आने की उम्मीद है

    • यह supply chain attack से ज्यादा watering hole attack के करीब है। Developers के लिए winget या chocolatey जैसे package manager इस्तेमाल करना ज्यादा सुरक्षित हो सकता है

  • Windows users के लिए winget से install करना अपेक्षाकृत फायदेमंद है। official manifest में signature verification की जाती है, और winget install --exact --id CPUID.CPU-Z कमांड से comparatively safe install संभव है

    • लेकिन WinGet पूरी सुरक्षा की गारंटी नहीं है। इसका verification process सतही है, और अगर source पहले से compromise हो चुका हो तो malicious update भी पास हो सकता है। यह लगभग CLI version MajorGeeks जैसा है
    • manifest के SHA check भर से छेड़छाड़ रोकना मुश्किल है। यह जानने की जिज्ञासा है कि signature verification वास्तव में कैसे काम करती है
    • फिर भी Winget लगातार बेहतर हो रहा है। उदाहरण के लिए जब ImageMagick की official site का लिंक टूटा था, तब Winget से सामान्य download संभव था
    • package manager की वजह से हाल की Notepad++ hijacking incident में भी नुकसान कम किया जा सका। अगर developer सीधे distribution करना चाहते हैं, तो उन्हें PKI management और signing key distribution जैसी infrastructure security पर ध्यान देना होगा

  • Winget के जरिए install किए गए versions (v1.63, v2.19) सुरक्षित हैं या नहीं, इस पर चिंता जताई गई। GitHub manifest और Winstall लिंक देखे जा रहे हैं

  • लगता है कि पिछले महीने FileZilla पर हमला करने वाला वही group इस बार भी शामिल था। इस बार fake domain नहीं, बल्कि official site की API layer को hack किया गया, जिससे सामान्य साइट से malicious files वितरित कराई गईं

    • वैसे FileZilla पहले भी adware·spyware bundle विवाद में रहा है। संभव है कि वह अपने आप में भी एक threat हो

  • अतिरिक्त technical details vx-underground की पोस्ट में संकलित हैं

  • यह हमला tech users द्वारा भरोसा किए जाने वाले utility को निशाना बनाने की एक परिष्कृत कोशिश थी, जिसमें binary खुद नहीं बल्कि download link बनाने वाली API layer मुख्य attack surface बनी