HWMonitor와 CPU-Z의 다운로드 링크가 파일의 보안에 취약한 버전으로 리디렉션되었습니다.
HWMonitor와 시스템 정보 도구 CPU-Z를 제작한 CPUID의 웹사이트가 알려지지 않은 공격자들에게 침해당했으며, 이 도구들을 다운로드한 사용자들은 감염된 파일을 받게 되었습니다. 사이버 보안 연구 그룹인 vx-underground에 따르면 (X 게시물 참조), 위협 행위자는 cpuid.com을 침해했습니다. 사용자들이 해당 도구의 최신 버전을 다운로드하려 했을 때, 2026년 3월에 발발한 악성코드 캠페인에도 사용되었던 supp0v3-dot-com의 감염된 설치 프로그램 파일이 제공된 것입니다. 한 레딧 사용자는 이 파일이 HWMonitor의 최신 버전(hwmonitor_1.63.exe) 다운로드 파일을 HWiNFO_Monitor_Setup.exe로 대체했다고 지적했습니다.
(참고 트윗 내용 발췌: 이 악성코드는 정말 골칫거리입니다. 막대기로 때려 부수고 일부를 복구하려면 상당한 시간이 소요될 것입니다. 이 맬웨어의 개발자는 회피 기법에 많은 신경을 쓴 것이 분명합니다. 정말 영리한 결정을 내렸습니다.)
이 악성코드의 주요 목표는 브라우저 자격 증명(credential)을 훔치는 것이었던 것으로 보입니다. 특히 Google Chrome의 IElevation COM 인터페이스를 손상시켜 저장된 암호를 덤프하고 복호화하려 시도했기 때문입니다. 이 맬웨어는 비교적 정교하며, vx-underground는 또 다른 X 게시물에서 해당 맬웨어가 깊이 트로이 목마화되었고 엔드포인트 탐지 및 대응(EDR) 시스템과 안티바이러스 시스템을 우회하는 독특한 방식을 사용한다고 밝혔습니다. 이 배후 해커들은 심지어 PC 애호가와 전문가들이 사용하는 가장 인기 있는 도구 중 하나를 장악하여 공급망 공격을 수행했습니다.
이 도구들의 개발자인 사무엘 데뮤레메스터(Samuel Demeulemeester)는 X를 통해 성명을 발표하며, 침해 조사가 현재 진행 중이라고 밝혔습니다. 그는 약 6시간 동안 특정 사설 API가 침해되었으며, 이로 인해 웹사이트가 악성 파일로 연결된 것으로 추정된다고 덧붙였습니다. 다행히도 CPUID가 직접 서명한 원본 파일은 침해되지 않았으며, 해당 문제는 이미 해결되었습니다.
- 비공식 7-zip.com 웹사이트가 일주일 이상 맬웨어가 포함된 다운로드를 유포 — 감염된 PC들이 프록시 봇넷에 강제 접속됨
- 자바스크립트에서 해커들에게 해킹당한 가장 인기 있는 라이브러리 중 하나
- Notepad++ 업데이트 서버가 표적 공격을 받음
HWMonitor와 CPU-Z의 높은 인기를 감안할 때, 많은 사용자들이 이 비교적 짧은 기간 동안 감염된 파일을 다운로드했을 가능성이 높습니다. Windows Defender가 일반적으로 맬웨어를 설치 전에 포착했으며, 이를 우회한 사용자들은 이상한 러시아어 설치 프로그램(Russian install program)을 감지했을 것입니다. 하지만 그럼에도 불구하고, 일부 사용자들이 설치를 진행하여 시스템 및 저장된 자격 증명이 실제로 침해되었을 가능성은 남아 있습니다.
공급망 공격은 최근 악성코드를 확산시키는 주요 수법으로 급부상하고 있습니다. 예를 들어, 자바스크립트의 인기 라이브러리 중 하나는 지난 3월 말 크로스 플랫폼 원격 접속 트로이 목마를 배포하기 위해 공격받았으며, 비공식 7-Zip 웹사이트는 2026년 1월에 침해되어 인기 압축 유틸리티를 다운로드하는 PC들을 감염시키고 프록시 봇넷의 일부로 만들었습니다. 심지어 업데이트 서버조차 무방비 상태가 될 수 있는데, 이는 2025년 6월 Notepad++에 발생한 사례로, 내장 업데이트 도구를 사용하여 앱을 업데이트하던 사용자들이 감염되었기 때문입니다.
Tom's Hardware를 Google News에서 팔로우하거나, 저희를 즐겨찾기 소스로 추가하여 최신 뉴스, 분석 및 리뷰를 피드에서 받아보세요.