Tấn công chuỗi cung ứng: CPU-Z và HWMonitor bị cài mã độc trên trang chủ chính thức

Người dùng truy cập vào trang web của CPUID đã gặp rủi ro bị lây nhiễm mã độc trong tuần này sau khi tin tặc chiếm quyền kiểm soát một phần hệ thống backend, biến các liên kết tải xuống đáng tin cậy thành công cụ phân phát phần mềm độc hại.

Vấn đề này ảnh hưởng đến các công cụ phổ biến như HWMonitor và CPU-Z. Người dùng trên Reddit và các diễn đàn khác bắt đầu nhận ra sự bất thường khi trình cài đặt kích hoạt cảnh báo của phần mềm diệt virus hoặc xuất hiện với tên lạ. Một ví dụ điển hình là bản cập nhật HWMonitor 1.63 lại trỏ đến một tệp có tên "HWiNFO_Monitor_Setup.exe" — rõ ràng không phải là tệp người dùng định tải xuống — và là dấu hiệu cho thấy hệ thống phía trên đã bị can thiệp.

CPUID đã xác nhận vụ việc này và khẳng định nguyên nhân nằm ở một thành phần backend bị xâm nhập chứ không phải do quá trình xây dựng (build) phần mềm bị thay đổi.

"Điều tra vẫn đang diễn ra, nhưng có vẻ như một tính năng phụ (về cơ bản là một API bên) đã bị xâm phạm trong khoảng sáu giờ giữa ngày 9 và 10 tháng 4, khiến trang web chính hiển thị ngẫu nhiên các liên kết độc hại (các tệp gốc đã ký của chúng tôi không bị xâm phạm)", một trong những chủ sở hữu trang web cho biết trong một bài đăng trên X. "Lỗ hổng đã được tìm thấy và khắc phục."

Các tệp phần mềm gốc dường như không bị đụng đến và vẫn được ký kỹ thuật số đúng cách, do đó có vẻ như không ai đã xâm nhập vào quy trình xây dựng mã nguồn. Thay vào đó, vấn đề nằm ở khâu phân phối tải xuống. Tuy nhiên, đối với bất kỳ ai truy cập trang web trong khoảng thời gian đó, sự phân biệt này mang lại ít sự an ủi. Nếu liên kết bạn nhấp vào đã bị đánh tráo, bạn sẽ vô tình tải xuống bất cứ thứ gì mà nó trỏ tới.

Phân tích từ vx-underground cho biết trình cài đặt độc hại dường như nhắm vào người dùng HWMonitor 64-bit và bao gồm một tệp CRYPTBASE.dll giả được thiết kế để hòa trộn với các thành phần Windows hợp pháp. DLL đó sau đó kết nối với một máy chủ điều khiển (command-and-control) để tải xuống các payload bổ sung.

Từ đó, mức độ nghiêm trọng tăng lên. Phân tích cho thấy mã độc cố gắng tránh lưu trữ trên đĩa cứng càng nhiều càng tốt, dựa vào PowerShell và chạy chủ yếu trong bộ nhớ. Nó cũng tải xuống mã bổ sung và biên dịch một payload .NET trên máy của nạn nhân trước khi tiêm nó vào các quy trình khác. Có dấu hiệu cho thấy nó đang nhắm vào dữ liệu trình duyệt. Trong quá trình kiểm thử, nó được thấy đang tương tác với giao diện COM IElevation của Google Chrome, giao diện này có thể được sử dụng để truy cập và giải mã thông tin đăng nhập đã lưu.

Cùng một phân tích cũng gợi ý về mối liên hệ với cơ sở hạ tầng được sử dụng trong các chiến dịch trước đây, bao gồm một chiến dịch nhắm đến người dùng FileZilla, ám chỉ rằng đây không phải là một thử nghiệm ngẫu nhiên mà là một phần của một kịch bản tấn công rộng lớn hơn.

CPUID cho biết vấn đề hiện đã được khắc phục, nhưng vẫn chưa có chi tiết về cách API đó được truy cập hoặc bao nhiêu người thực sự đã tải xuống các tệp độc hại. Dù vậy, đây là một lời nhắc nhở khác rằng kẻ tấn công không cần chạm đến mã nguồn để gây ra thiệt hại.