Le site Web CPUID, développeur du célèbre outil de détection de matériel CPU-Z et de l'outil de surveillance du matériel HWMonitor, a récemment été attaqué par des pirates informatiques. Les pirates ont envahi le serveur du site Web par des moyens inconnus, puis ont affiché de manière aléatoire des liens malveillants sur le site Web et ont incité les utilisateurs à les télécharger.
Initialement, les internautes de Reddit ont découvert un problème en essayant de mettre à jour HWMonitor v1.63 : CPUID a fourni un fichier très déroutant HWiNFO_Monitor_Setup.exe, qui a immédiatement déclenché un avertissement de sécurité de Microsoft Defender.
Lorsque l'utilisateur a pensé qu'il s'agissait d'une fausse alarme, a ignoré l'avertissement et a continué à fonctionner, le programme d'installation russe est apparu de manière inattendue. C'était évidemment anormal, alors l'internaute a interrompu l'installation et a posté sur Reddit pour rappeler aux autres internautes de prêter attention à ce problème de sécurité.
Après avoir reçu des commentaires pertinents, CPUID a officiellement confirmé que le site Web avait été piraté. Du 9 au 10 avril 2026, heure locale, le site Web a été piraté pendant environ 6 heures. Toutefois, des investigations plus approfondies doivent être menées et les dossiers originaux des demandes concernées n'ont pas été falsifiés.
Comment fonctionnent les logiciels malveillants :
Le malware livré par les pirates contient un logiciel CPU-Z normal, mais les pirates intègrent un fichier malveillant nommé CRYPTEBASE.dll, qui est chargé en mémoire lorsque l'utilisateur exécute CPU-Z.
Lorsque le fichier malveillant démarre, il recherche automatiquement les informations d'identification du navigateur et peut appeler PowerShell pour obtenir plus d'instructions du serveur C2, notamment en essayant de décrypter divers mots de passe de compte enregistrés localement par le navigateur Chrome.
L'API auxiliaire du site Web CPUID est contrôlée par :
À en juger par l'analyse actuelle, les pirates contrôlent d'une manière ou d'une autre l'API auxiliaire sur le site Web CPUID, ce qui leur permet de falsifier le lien de téléchargement sans toucher au serveur de code source. Le logiciel lié au CPUID lui-même n'a pas été falsifié. Le pirate remplace principalement le lien de téléchargement par l’adresse du programme malveillant.
Compte tenu de la nocivité de ces fichiers malveillants, il est recommandé aux utilisateurs qui ont téléchargé et installé CPU-Z et HWMonitor à partir du site officiel de CPUID du 9 au 11 avril 2026 de réinstaller directement le système et en même temps de modifier les différents mots de passe de leurs comptes pour garantir la sécurité.
De plus, pour les sessions réseau qui peuvent être déconnectées (telles que l'état de connexion du navigateur Chrome), il est recommandé de se déconnecter directement de la session, ce qui peut forcer l'expiration des jetons volés et améliorer la sécurité.