CPU-Z官网被黑12小时，15万用户下载了带毒安装包

4月9日下午3点，全球装机量破亿的硬件检测工具CPU-Z，官网下载链接被替换成恶意程序。攻击持续了21小时，直到次日早上10点才恢复。卡巴斯基追踪到超过150名确认受害者，实际数字可能远高于此。

这不是某个小众软件的中招。CPU-Z、HWMonitor、HWMonitor Pro、PerfMonitor——玩机圈没人没用过。装机必备、超频必看、二手交易验货神器，这些工具的官网cpuid.com在极客社区的地位，相当于Photoshop之于设计师。

攻击者没碰签名文件本身，而是劫持了一个"次级功能（基本是个旁路API）"。CPUID在X平台的声明说得轻描淡写，但后果足够严重：用户点击官网下载按钮，拿到的却是从pub-45c2577dbd174292a02137c18e7b1b5a.r2.dev这类域名分发的安装包。

21小时的窗口期，攻击者怎么玩的

卡巴斯基还原了完整攻击链。恶意文件以两种形态出现：ZIP压缩包和独立安装程序。打开后看起来一切正常——里面有正经签名的原版可执行文件，但旁边蹲着一个叫CRYPTBASE.dll的恶意动态链接库。

这是经典的DLL侧加载（DLL Side-Loading）：Windows程序启动时会按特定顺序搜索依赖库，攻击者把恶意DLL塞进搜索路径，让合法程序"自愿"加载病毒代码。系统层面看，运行的是正版CPU-Z，数字签名完好，杀毒软件很难在第一时间喊停。

CRYPTBASE.dll加载后先做反沙箱检测——检查是否在虚拟机或分析环境中运行，确认安全后才联系外部服务器下载后续载荷。最终落地的是STX RAT，一款具备HVNC（隐藏虚拟网络计算）功能的远控木马。

eSentire上周的分析报告列出了STX RAT的能力清单：内存中执行EXE/DLL/PowerShell/Shellcode、反向代理/隧道、桌面远程交互。翻译成人话：你的屏幕对方能看能点，你的文件对方能传能删，你的摄像头麦克风对方能开能关，而这一切都可以发生在你看不到的后台。

攻击者的低级错误让安全公司笑了

卡巴斯基的分析师在报告里毫不客气："攻击者犯下的最严重错误，是在这次攻击中复用了之前假FileZilla安装包事件的同一套感染链，连C2服务器的域名都没换。"

上个月，Malwarebytes刚曝光过一批伪装成FileZilla的恶意安装包，同样部署STX RAT。两波攻击的指挥控制地址、连接配置完全一致。对安全厂商来说，这相当于罪犯连续两起案子留下了同一枚指纹。

「攻击者的恶意软件开发/部署能力和运营安全水平相当低下，这使得我们能够在水坑攻击（Watering Hole）刚开始时就检测到入侵。」卡巴斯基在报告中写道。

水坑攻击这个名字来自自然界的捕食策略：狮子不会追着羚羊跑，而是在水源附近埋伏。对攻击者来说，高流量官网就是数字水坑——用户主动上门，信任度天然拉满，比钓鱼邮件的转化率高出几个数量级。

受害者画像：个人玩家为主，企业也被波及

卡巴斯基确认的150多名受害者中，绝大多数是个人用户。但零售、制造、咨询、电信、农业等行业的企业环境也出现了感染记录。地理分布集中在巴西、俄罗斯、中国——恰好是CPU-Z用户基数最大的几个市场。

个人用户的风险相对直观：游戏账号、社交账号、网银凭证、加密货币钱包，都是远控木马的常规猎物。企业环境的麻烦在于，一台被控的办公电脑可能成为横向移动的跳板。HWMonitor这类工具常被IT运维用于服务器监控，如果下载者恰好是管理员权限，攻击者拿到的就是内网通行证。

CPUID的声明强调"签名原版文件未受影响"，这对已经下载的用户是句正确的废话。普通用户不会校验哈希值，看到官网域名就点下载是肌肉记忆。这次事件暴露的是供应链上游的信任崩塌——当官网本身不可信，用户还能信什么？

侧加载：Windows生态的老毛病

DLL侧加载不是新把戏。2015年百度被曝多款软件携带恶意DLL，2017年CCleaner遭供应链攻击，2021年Kaseya事件波及上千家企业，底层逻辑如出一辙。Windows的模块加载机制设计于信任假设充足的时代，程序按目录、系统路径、环境变量的顺序搜索依赖，给了攻击者充足的插足空间。

微软并非没有应对。2017年推出的Control Flow Guard、2020年强化的代码完整性策略，都在试图收紧执行环境。但兼容性包袱太重，旧版程序、第三方驱动、企业定制软件都指着这套机制吃饭，彻底封堵不现实。

这次攻击选用的CRYPTBASE.dll名字也有讲究。这是Windows系统 legitimate DLL 的名称，位于System32目录，负责加密基础功能。恶意文件同名不同址，既蹭了系统文件的信任光环，又能在某些检测逻辑下蒙混过关。

卡巴斯基建议用户从可信来源下载软件，并校验数字签名。但问题是：当可信来源本身被黑，这条建议就成了循环论证。更务实的做法或许是——对任何从网络下载的可执行文件保持警惕，哪怕它来自你用了十年的官网。

CPUID目前未披露受影响的下载次数统计。考虑到CPU-Z的全球装机量和官网流量，21小时的恶意窗口期可能触达数万甚至数十万次下载尝试。安全厂商的检测数据永远只是冰山一角，大量受害者可能至今不知道自己曾运行过带毒安装包。

STX RAT的C2服务器已被标记，但攻击者更换域名和基础设施的成本极低。这次因为复用旧基础设施被快速发现，下次呢？水坑攻击的可怕之处不在于技术复杂度，而在于它精准打击了用户行为中最难改变的一环：对官方渠道的本能信任。

你现在会去检查自己电脑上CPU-Z的来源吗？