文章总结： 京东安全中心监测到CPU-Z官网遭供应链投毒攻击，攻击者篡改下载链接为CloudflareR2存储的恶意压缩包。执行流程采用白加黑技术，通过带签名母体启动无文件PowerShell注入，动态编译恶意DLL并建立C2连接。关键IOCs包括恶意文件哈希、C2地址95.216.51.236:31415及持久化脚本。建议用户验证文件MD5并阻断相关网络指标。 综合评分： 87 文章分类： 威胁情报,漏洞预警,恶意软件,供应链安全,安全运营

威胁情报： CPU-Z 软件供应链投毒攻击事件预警

原创

JSRC JSRC

京东安全应急响应中心

2026年4月10日 15:58 北京

在小说阅读器读本章

去阅读

01

事件综述

京东安全中心AI数字人监测到一起针对系统工具 CPU-Z 的供应链投毒事件。攻击者疑似入侵cpuid.com后替换部分软件下载链接为恶意木马。利用白加黑（Dll-Sideloading）方式，解压后执行即拉起内存 PowerShell 脚本、释放恶意 DLL 以及建立异常网络外连。

02

攻击链分析

2.1 初始进入

用户从官网网站（https://www.cpuid.com/softwares/cpu-z.html）下载了 cpu-z.zip。载荷分发域名：pub-f3252d8370f34f0d9f3b3c427d3ac33c.r2.dev (Cloudflare R2 存储)

其中两个压缩包的下载链接已经被篡改为cloudflare r2。

2.2 执行阶段

1. 母体触发： 用户运行 cpuz_x64.exe（MD5: C4F7F0CE6B6CEAB637DA82892D2DBDC6）。
2. 隐蔽注入： 程序启动后立即调用 PowerShell，使用命令行参数 [console]::In.ReadToEnd() | Invoke-Expression。这种方式不直接在命令行显示脚本内容，而是通过标准输入流执行，能有效绕过传统的 EDR 命令行审计。
3. 动态编译： 脚本通过 .NET 编译器 (csc.exe) 在本地动态生成恶意 DLL (qa3ofohx.dll) 并加载，实现无文件化执行。

2.3 持久化与 C2 通信

• 持久化： 攻击者在 Internet Explorer 目录下投放了 clippy.sct 和 activex.sct 等脚本组件（COM Scriptlet），尝试通过劫持系统组件实现长期潜伏。

• 网络特征：

  异常 C2： 建立与 95.216.51.236:31415 的 TCP 连接。具有明显的木马控制特征。

03

IOCs

3.1 文件信息 (File Indicators)

| | | | | | — | — | — | — | | 文件名 | 类型 | MD5 哈希 | 备注 | | cpuz_x64.exe | PE64 / Signed | c4f7f0ce6b6ceab637da82892d2dbdc6 | 带合法签名的投毒母体 | | CRYPTBASE.dll | DLL | 0b85dc8f9fd49fa4dd5c2b6b336441f8 | 关键恶意 DLL 组件 | | clippy.sct | Scriptlet | – | 位于 IE 目录下的持久化载荷 |

3.2 网络信息 (Network Indicators)

• C2 :95.216.51.236:31415
• C2 域名:welcome.supp0v3.com
• 下载源:https://pub-f3252d8370f34f0d9f3b3c427d3ac33c.r2.dev/cpu-z.zip

04

时间线

通过网站时光机（wayback machine）发现下载地址页面在今天存在两个快照。

其中04:45:31部分为正常，06:09:48部分已经被篡改。截止14:30，cpuid.com官网已经无法打开。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：京东安全应急响应中心 JSRC JSRC《威胁情报： CPU-Z 软件供应链投毒攻击事件预警》