Negli ultimi giorni è emersa una compromissione dell’infrastruttura di distribuzione del sito CPUID, che ha portato alla diffusione di installer malevoli in luogo dei download ufficiali. La vicenda, rilevata da vari ricercatori e segnalata dagli utenti, coinvolge strumenti molto usati per la diagnostica e il monitoraggio hardware: CPU-Z, HWMonitor e PerfMonitor 2. Le anomalie segnalate includono link di download modificati, file ospitati su servizi esterni e pacchetti con metadati apparentemente legittimi ma contenenti codice ostile.
Secondo le analisi tecniche disponibili, l’incidente non sembra aver toccato il codice sorgente dei programmi, ma il canale di distribuzione: un tipico esempio di web-based supply chain attack. Gli sviluppatori della piattaforma hanno comunicato di aver risolto il problema dopo le segnalazioni, mentre enti di sicurezza e community indipendenti hanno pubblicato indicatori utili per la verifica e la mitigazione del rischio.
Come si è verificato l’attacco
Le prime avvisaglie sono arrivate da una segnalazione su Reddit: un utente che cercava l’ultima versione di HWMonitor ha ricevuto un file denominato HWiNFO_Monitor_Setup.exe invece del pacchetto atteso. Quel file era ospitato su Cloudflare R2 e presentava l’installer in lingua russa, elementi che hanno subito destato sospetti. Le indagini successive hanno evidenziato che i link presenti sul sito ufficiale erano stati modificati, rimandando a mirror o storage esterni che distribuivano binari trojanizzati.
Caratteristiche del malware distribuito
I campioni analizzati mostrano un comportamento multi-stadio: il payload opera prevalentemente in memoria per evitare tracce persistenti su disco e utilizza tecniche di offuscamento e anti-analisi per eludere il rilevamento. Diversi motori antivirus (circa 30) hanno individuato le varianti come Tedy Trojan o Artemis Trojan.
Analisti come vx-underground hanno inoltre collegato questi artefatti a operatori che in precedenza avevano diffuso versioni infette di altri software, suggerendo una stessa matrice operativa.
Software e versioni coinvolte
Le informazioni raccolte dal CSIRT e da altri centri specializzati indicano le versioni legittime note subito prima della compromissione: CPU-Z 2.09, HWMonitor 1.52 e PerfMonitor 2 v2.04. La modifica dei link sul sito ufficiale è stata rilevata tra il 9 e il 10 aprile, e per questo motivo si raccomanda di preferire pacchetti scaricati e verificati prima del 9 aprile 2026 se il loro uso è indispensabile.
Come riconoscere un file sospetto
Oltre a controllare la fonte del download, è fondamentale verificare l’integrità dei file tramite confronto degli hash SHA-256 quando disponibili.
Altri segnali di allarme includono installer scritto in lingue incoerenti con la distribuzione, hosting su servizi esterni non ufficiali e nomi di file che non corrispondono ai pacchetti attesi. In assenza di verifiche, l’esecuzione di tali binari può esporre il sistema a infostealer e backdoor che permettono escalation di privilegi e accesso remoto.
Indicazioni pratiche per mitigare il rischio
Chiunque abbia scaricato i programmi dal sito ufficiale nelle 48-72 ore successive alla comparsa del problema dovrebbe considerare il proprio sistema come potenzialmente compromesso e adottare misure conservative: isolamento della macchina, analisi forense, scansioni con strumenti aggiornati e, se necessario, reinstallazione da copie verificate. Inoltre è consigliabile evitare ulteriori download dal portale fino a che non siano chiarite completamente le cause e le contromisure adottate.
Azioni raccomandate
Le principali raccomandazioni includono: verificare gli hash dei file quando pubblicati dagli sviluppatori; utilizzare repository alternativi e mirror affidabili solo dopo conferma; aggiornare e eseguire scansioni con soluzioni antivirus moderne; e monitorare eventuali attività anomale di rete e processi. Per gli amministratori di rete, si suggerisce di ispezionare log e traffico per eventuali comunicazioni verso host sospetti in seguito all’esecuzione di questi strumenti.
Le indagini e il quadro complessivo
Le analisi attualmente disponibili collocano l’episodio all’interno di una tendenza più ampia: gli attori malintenzionati rivolgono sempre più spesso l’attenzione alla software supply chain come vettore per distribuire malware su larga scala. Le contromisure richiedono collaborazione tra sviluppatori, ricercatori e utenti finali per rafforzare i canali di distribuzione, automatizzare verifiche di integrità e ridurre la superficie d’attacco. Gli sviluppatori di CPUID hanno dichiarato che le modifiche ai link sono state ripristinate e che le indagini sono in corso.
