Заміна файлів чи збій доставки: що відомо про інсталятори HWMonitor 1.63
Користувачі популярних утиліт для моніторингу ПК HWMonitor та CPU-Z повідомили про підозрілі інсталятори після завантаження з ресурсів CPUID. Файл має нетипову назву, викликає реакцію антивірусів і містить ознаки сторонньої модифікації.
Що сталося з інсталяторами CPUID
За даними igor’sLAB і повідомлень користувачів у Reddit, замість очікуваного файлу HWMonitor частина користувачів отримала інсталятор з іншою назвою — HWiNFO_Monitor_Setup.exe.
Додатково повідомляється про:
- нестандартну структуру інсталятора (Inno Setup)
- діалогові вікна російською мовою
- попередження Windows Defender
- відмінності між тим, що показує сторінка завантаження, і фактичним файлом
Де виникла аномалія
На сторінці CPUID для HWMonitor версії 1.63 зазначено стандартний шлях завантаження через офіційний домен download.cpuid.com.
Однак у частини користувачів фінальний файл відрізнявся від очікуваного. Це створило версію про можливу:
- підміну інсталятора на рівні маршрутизації завантаження
- або тимчасове перенаправлення трафіку
- або зовнішній вплив на ланцюг доставки файлів
Редактор igor’sLAB підкреслює, що назва файлу виглядає не випадковою, а схожою на навмисну маскування під відому утиліту моніторингу.
Чи йдеться про злам CPUID
На цьому етапі немає підтвердження повної компрометації CPUID.
Водночас експерти не виключають сценарії:
- підміна на рівні CDN або хмарного сховища
- компрометація частини інфраструктури завантаження
- помилка конфігурації з небажаним маршрутом файлів
Важливо: офіційних заяв про злам від компанії наразі немає.
Попередні інциденти з безпекою CPUID
Раніше в екосистемі CPUID вже фіксували вразливості, зокрема у драйверах ядра старих версій CPU-Z, де йшлося про ризики перехоплення DLL.
Поточна ситуація відрізняється тим, що мова йде не про код програми, а про можливу підміну дистрибутивів.
Чому це важливо
Інсталятори системних утиліт — одна з найризикованіших точок атаки. Якщо файл замінюється ще до запуску на ПК користувача, антивірус може не завжди вчасно відреагувати або правильно ідентифікувати загрозу.
Цей випадок показує слабке місце ланцюга доставки програм: навіть офіційні сайти можуть стати точкою входу для атак або помилкових перенаправлень.
Цікавий факт
Inno Setup, який згадується в повідомленнях користувачів, часто використовується як легітимний інструмент для створення інсталяторів, але саме через це його також нерідко застосовують для маскування шкідливих пакетів.
Що це означає
Ситуація поки не має підтвердженого статусу кібератаки, але демонструє високий ризик компрометації навіть популярних утиліт. Основний фокус зараз — перевірка цілісності каналів завантаження.
