기사 원문 - https://www.tomshardware.com/tech-industry/cyber-security/hwmonitor-and-cpu-z-developer-cpuid-breached-by-unknown-attackers-cyberattack-forced-users-to-download-malware-instead-of-valid-apps-for-approximately-six-hours
 

인기 하드웨어 모니터링 도구인 HWMonitor와 시스템 정보 도구 CPU-Z를 제작하는 CPUID의 웹사이트가 정체불명의 공격자에게 해킹당했습니다. 해당 도구를 다운로드하려던 사용자들은 악성코드에 감염된 파일을 받게 되었습니다. 사이버 보안 연구 단체인 vx-underground(아래 트윗 참조)에 따르면, 공격자는 cpuid.com을 해킹했고, 최신 버전의 도구를 다운로드하려던 사용자들에게는 supp0v3-dot-com에서 배포된 악성 설치 파일이 제공되었습니다. 이 주소는 2026년 3월에 발생한 악성코드 유포 캠페인에도 사용된 바 있습니다. 한 레딧 사용자는 이로 인해 최신 버전의 HWMonitor 설치 파일인 hwmonitor_1.63.exe가 HWiNFO_Monitor_Setup.exe로 대체되었다고 밝혔습니다.

https://x.com/vxunderground/status/2042499378233876715

이 악성코드의 주된 목표는 브라우저 자격 증명을 탈취하는 것으로 보이며, 특히 구글 크롬의 IElevation COM 인터페이스에 침입하여 저장된 비밀번호를 추출하고 복호화하려 시도했습니다. 이 악성코드는 비교적 복잡한 구조를 가지고 있으며, vx-underground는 다른 X 게시물 에서 이 악성코드가 트로이목마처럼 정교하게 변형되었고 엔드포인트 탐지 및 대응(EDR) 시스템과 안티바이러스 시스템을 회피하기 위해 흥미로운 기법들을 사용한다고 밝혔습니다. 또한, 이 악성코드를 만든 해커들은 PC 애호가와 전문가들이 공급망 공격을 실행하는 데 사용하는 가장 인기 있는 도구 중 하나를 악용하기도 했습니다.

이러한 도구의 개발자인 사무엘 드뮐미스터는 X 를 통해 성명을 발표하며 , 이번 침해 사건에 대한 조사가 진행 중이지만, 약 6시간 동안 사이드 API가 손상되어 웹사이트가 악성 파일로 연결되었다고 밝혔습니다. 하지만 CPUID의 서명된 원본 파일은 손상되지 않았으며, 침해 문제는 이미 해결되었습니다.

HWMonitor와 CPU-Z의 인기를 고려할 때, 많은 사람들이 그 짧은 기간 동안 감염된 파일을 다운로드했을 가능성이 높습니다. 윈도우 디펜더는 대개 설치되기 전에 악성코드를 탐지했고, 디펜더를 우회한 사용자라면 이상한 러시아어 설치 프로그램을 알아챘을 것입니다. 하지만 설치를 진행하여 시스템과 저장된 계정 정보가 유출되었을 가능성도 여전히 존재합니다.

최근 공급망 공격이 악성코드 확산 수단으로 인기를 얻고 있습니다. 예를 들어, 가장 인기 있는 자바스크립트 라이브러리 중 하나가 3월 말에 크로스 플랫폼 원격 접속 트로이목마를 배포하는 데 악용되었고, 2026년 1월에는 비공식 7-Zip 웹사이트가 해킹당해 인기 압축 유틸리티를 다운로드하는 PC가 감염되고 프록시 봇넷의 일부가 되었습니다. 심지어 업데이트 서버조차도 공격 대상이 될 수 있습니다. 2025년 6월에는 Notepad++에서 내장 업데이트 프로그램을 사용하여 앱을 업데이트하던 사용자들이 감염되는 사례가 발생했습니다.