AI 요약
2026년 4월 10일, 유명 하드웨어 모니터링 도구인 CPU-Z와 HWMonitor를 제공하는 CPUID 웹사이트가 보안 침해 사고를 겪었습니다. 이번 사고는 약 6시간 동안 지속되었으며, 공격자들은 사이트의 백엔드 구성 요소 중 하나인 사이드 API를 장악하여 정상적인 다운로드 링크를 악성코드 유포 경로로 변조했습니다. 사용자들은 HWMonitor 1.63 업데이트를 시도할 때 'HWiNFO_Monitor_Setup.exe'와 같은 엉뚱한 이름의 파일이 다운로드되거나 백신 소프트웨어의 경고가 발생하는 것을 보고 이상 징후를 발견했습니다. CPUID 측은 조사를 통해 소프트웨어 빌드 자체는 안전하며, 디지털 서명된 원본 파일은 오염되지 않았음을 확인했습니다. 현재 침해된 백엔드 기능은 수정되었으나, 해당 기간에 도구를 다운로드한 사용자들은 계정 정보 탈취(Credential Stealer) 등의 피해를 입었을 가능성이 있어 각별한 주의가 요구됩니다.
핵심 인사이트
- 침해 기간: 2026년 4월 9일부터 4월 10일 사이 약 6시간 동안 보안 사고가 발생함.
- 주요 대상: HWMonitor 1.63 버전 업데이트를 포함한 CPUID 웹사이트의 주요 다운로드 링크가 변조됨.
- 공격 방식: 소프트웨어 빌드 변조가 아닌 백엔드 '사이드 API(side API)' 침해를 통한 무작위 악성 링크 노출.
주요 디테일
- 가짜 파일 식별: 사용자가 다운로드 시 'HWiNFO_Monitor_Setup.exe'라는 비정상적인 이름의 파일이 생성됨.
- 사용자 감지: Reddit 등 커뮤니티에서 안티바이러스 경고 및 비정상적인 파일명에 대한 제보가 잇따르며 사건이 알려짐.
- 공식 입장: CPUID 운영진은 X(구 트위터)를 통해 디지털 서명된 원본 파일은 안전하며, 침해된 부분은 웹사이트의 보조 기능이라고 밝힘.
- 악성코드 성격: 유포된 파일은 주로 사용자 계정 정보를 가로채는 크리덴셜 스틸러(Credential Stealer) 계열로 파악됨.
- 조치 상황: 현재 침해된 API는 수정 완료되었으며, 정확한 침해 경로에 대한 정밀 조사가 진행 중임.
향후 전망
- 신뢰받는 하드웨어 도구의 공식 웹사이트를 노린 API 기반 공급망 공격이 더욱 정교해질 것으로 보임.
- 사용자들은 공식 사이트의 파일이라 할지라도 다운로드 시 파일의 디지털 서명 여부와 파일명을 대조하는 이중 확인 절차가 필수적임.
출처:hackernews