警告：CPU-Z 與 HWMonitor 官方網站遭駭並植入惡意軟體

背景

知名系統監測工具 CPU-Z 與 HWMonitor 的官方網站 CPUID 近期傳出遭到駭客入侵，導致官方下載頁面的連結被替換為惡意程式。根據社群使用者的回報，原本應導向官方伺服器的下載路徑，被竄改為指向 Cloudflare R2 儲存空間的偽造安裝檔，該檔案不僅名稱異常，且內含俄語介面與惡意代碼，引發硬體愛好者社群的高度關注與警惕。

社群觀點

針對這次資安事件，社群內部的討論呈現出技術分析與對開發者管理能力的質疑。技術層面上，多位使用者指出這次攻擊手法相當精確，駭客並非直接替換伺服器上的原始檔案，而是修改網頁前端的下載連結，將流量導向外部的惡意空間。分析顯示，這些偽造的安裝檔使用了特殊的封裝技術，與官方慣用的工具不同，且檔案名稱混淆了 HWMonitor 與 HWiNFO 兩款不同的軟體，顯示出攻擊者試圖利用使用者的慣性疏忽。

部分社群成員對 CPUID 官方的反應速度與安全性表示擔憂。有觀點指出，這並非該網站首次發生類似的資安漏洞，過去也曾有使用者反映下載到導致系統損毀的檔案。這種重複發生的資安問題讓部分資深玩家感到失望，認為開發團隊在維護網站安全性上顯然力有未逮。特別是當開發者之一在討論中透露，攻擊者似乎刻意挑選主要負責人休假、其餘成員忙於其他專案（如 Memtest86+）的空窗期發動攻擊，這種針對性的「定時攻擊」模式引發了社群對於開發者內部溝通與權限控管的討論。

此外，社群中也出現了關於防毒軟體警示與使用者行為的爭論。有使用者坦言，由於硬體監測工具常因涉及底層驅動而觸發防毒軟體的誤報，導致許多人在看到警告時會習慣性忽略，這正是惡意軟體得以趁虛而入的心理盲點。雖然有人對發文者在發現異常後仍提供惡意連結表示不滿，但大多數討論仍聚焦於如何透過檢舉惡意儲存空間來阻斷傳播路徑。整體而言，社群達成了一項共識：即使是信譽良好的老牌工具網站，在下載任何執行檔前，仍需仔細核對下載來源網域與檔案簽章，不可盲目信任。

延伸閱讀

在討論過程中，社群成員提供了多個追蹤此事件的技術來源與通報管道。若使用者發現類似的惡意連結，可透過 Cloudflare 的檢舉頁面（abuse.cloudflare.com/phishing）進行通報，以加速惡意檔案的下架。此外，資安研究帳號 vx-underground 在社群平台上也針對此事件提供了更詳盡的技術細節分析，對於想深入了解惡意程式行為的技術人員具有參考價值。