CPUID vừa trở thành tâm điểm của một vụ việc đủ khiến nhiều người dùng PC phải xem lại thói quen tải công cụ hệ thống. Sự cố này khiến tên CPUID bị nhắc lại theo cách không ai mong muốn. Trong khoảng 6 giờ từ ngày 9 sang ngày 10 tháng 4 năm 2026, link tải HWMonitor và CPU-Z trên website chính thức đã có lúc trỏ sang file độc hại thay vì bộ cài hợp lệ. Điều đáng lo là đây không phải chiêu giả mạo bằng domain na ná, mà là sự cố diễn ra ngay trên điểm tải mà người dùng vốn tin tưởng lâu nay. Khi chính CPUID gặp sự cố phân phối file, mức độ rủi ro với người dùng tăng lên rõ rệt. Với cộng đồng ép xung và kiểm tra phần cứng, tin xấu liên quan tới CPUID luôn có sức lan nhanh vì mức độ phổ biến của công cụ. Chỉ riêng việc CPUID xuất hiện trong cảnh báo bảo mật cũng đủ khiến nhiều người dừng tải file để kiểm tra lại. Với các công cụ như HWMonitor hay CPU-Z, chỉ một cửa sổ tấn công ngắn cũng đủ để lại hậu quả rộng.
Vì sao vụ CPUID lần này nguy hiểm hơn một cảnh báo tải nhầm file thông thường?
Phần xác nhận từ CPUID cho thấy bộ cài gốc có chữ ký số không bị sửa, nhưng một tính năng phụ ở backend đã bị chiếm quyền trong khoảng 6 giờ, khiến website đôi lúc hiển thị link tải độc hại. Điểm này quan trọng vì nó phá vỡ giả định quen thuộc rằng cứ vào đúng website là an toàn. Một số trường hợp được cộng đồng phát hiện còn cho thấy bản cập nhật HWMonitor 1.63 từng bị đẩy sang file mang tên HWiNFO_Monitor_Setup.exe, dấu hiệu đủ lạ để người kỹ tính nghi ngờ. Khi khâu phân phối bị chọc thủng, lớp tin cậy từ thương hiệu tới thói quen tải chính chủ gần như bị vô hiệu ngay ở cú nhấp chuột đầu tiên.
Đó cũng là lý do sự cố này đáng được nhìn như một vấn đề chuỗi cung ứng phần mềm thu nhỏ, chứ không chỉ là một vụ link lỗi ngắn hạn. Người dùng có thể làm mọi thứ tưởng như đúng quy trình, từ truy cập website chính thức tới tải phiên bản mới nhất, nhưng vẫn nhận về file sai. Đây là kiểu rủi ro gần với những gì các sự cố bảo mật gần đây đã cảnh báo, như bài lỗ hổng WinRAR. Khác biệt là lần này đối tượng bị lợi dụng lại là bộ đôi công cụ đọc thông số phần cứng quá quen với cộng đồng PC.
Người dùng HWMonitor và CPU-Z nên xử lý ra sao sau khi CPUID xác nhận bị xâm nhập?
Nếu đã tải file từ CPUID trong khung thời gian rủi ro, cách an toàn nhất là coi hệ thống đó có khả năng đã bị xâm nhập cho tới khi kiểm tra xong. Các phân tích được chia sẻ công khai cho thấy mẫu độc hại có thể dùng DLL giả dạng CRYPTBASE.dll để kéo thêm payload từ máy chủ điều khiển, hoạt động nhiều trong bộ nhớ và nhắm tới dữ liệu trình duyệt. Điều này khiến hậu quả không chỉ dừng ở một ứng dụng lạ xuất hiện trong máy, mà có thể mở rộng sang cookie, mật khẩu lưu sẵn hoặc phiên đăng nhập còn hiệu lực.
Hướng xử lý hợp lý là quét ngoại tuyến bằng công cụ bảo mật tin cậy, đổi mật khẩu các tài khoản quan trọng nếu đã chạy file đáng ngờ và theo dõi các tiến trình lạ liên quan PowerShell hoặc hành vi mạng bất thường. Nếu máy chứa dữ liệu nhạy cảm, lựa chọn cài lại hệ điều hành vẫn là phương án chắc tay hơn so với chỉ xóa file. Đây cũng là lúc nên kiểm tra lại thói quen xác minh tên file, chữ ký số và nguồn tải trước khi chạy các tiện ích hệ thống, nhất là trong bối cảnh các vụ xâm nhập backend như dữ liệu Wired. CPUID nói lỗ hổng đã được khắc phục, nhưng 6 giờ vừa qua đủ để biến một website quen thuộc thành điểm phát tán mã độc đúng nghĩa.
Sự cố này đáng nhớ không phải vì thời gian kéo dài quá lâu, mà vì nó đánh trúng tâm lý yên tâm khi tải công cụ từ nguồn chính thức. Với người dùng phổ thông, bài học quan trọng nhất là website đúng chưa chắc đã đồng nghĩa với file đúng. Với nhà phát triển phần mềm tiện ích, đây là lời nhắc rằng bảo vệ build server thôi chưa đủ nếu hệ thống phân phối còn có thể bị cấy link độc hại ở lớp ngoài. Tom’s Hardware cho thấy mức độ nghiêm trọng của vụ việc này.