Serangan Supply Chain Hola Browser: Bagaimana Penambang Monero Menyusup Lewat Installer Resmi Windows

Setelah terpasang, malware ini membangun persistensi melalui serangkaian tindakan yang disengaja:

• Penempatan File: Penambang menyalin dirinya ke

  C:\Program Files\Hola\HolaMonitorService.exe

  , jalur dan nama file yang dirancang agar terlihat seperti komponen pemantauan browser yang sah .
• Pembuatan Layanan: Ia menciptakan layanan Windows bernama hola_monitor_svc dan mengaturnya dengan tipe mulai 0x00000002, memastikannya akan berjalan otomatis setiap kali sistem dinyalakan .
• Penghindaran Defender: Untuk menghindari pemindaian antivirus bawaan, malware menambahkan jalur pengecualian untuk Windows Defender .
• Obfuskasi dan Anonimitas: Biner me.exe tidak memiliki tanda tangan digital, di-offus-cate, dan tanpa stempel waktu yang valid. Peneliti keamanan mencatat bahwa nama file itu sendiri tampaknya dipilih karena terlihat biasa saja, memungkinkannya menyatu dengan proses-proses sah lainnya .

Permukaan Serangan yang Terbatas tapi Serius

Cakupan kompromi ini relatif sempit. Sophos memperkirakan bahwa sekitar 0,1% pengguna Hola Browser terkena dampaknya . Meskipun hanya sebagian kecil dari basis pengguna, insiden ini merupakan contoh buku teks dari serangan supply chain: saluran distribusi perangkat lunak tepercaya berbalik melawan penggunanya, melewati pengawasan keamanan normal yang biasa diandalkan pengguna pada installer resmi.

Serangan ini bukanlah pelanggaran kode sumber Hola. Sebaliknya, ini menyoroti kerentanan pada jalur pembangunan dan rilis perangkat lunak—sebuah pengingat bahwa bahkan ketika pengembang menulis kode yang bersih, kompromi saat kompilasi, pengemasan, atau distribusi dapat meracuni produk akhir .

Bagaimana Hola Merespons

Setelah Sophos X-Ops melaporkan temuan ini, Hola bergerak untuk menahan ancaman dan mencegah terulangnya kembali. Langkah-langkah remediasi perusahaan meliputi:

• Membangun ulang jalur distribusi dari awal untuk menghilangkan akses penyerang yang tersisa .
• Menerapkan verifikasi kode digital (code-signing) untuk memblokir biner tak bertanda tangan dan tak sah melewati proses pembangunan .
• Memperkenalkan kontrol akses yang lebih ketat dan pemantauan berkelanjutan pada infrastruktur distribusinya .

Terlepas dari langkah-langkah ini, hingga pengungkapan publik pada 4 Juni 2026, pertanyaan kritis masih belum terjawab. Hola belum mengungkapkan secara publik bagaimana vektor serangannya—bagaimana jalur distribusi pertama kali dibobol—identitas pelaku ancaman, atau durasi akses mereka. Gambaran forensik penuh masih tertutup bagi publik, menyisakan celah yang memberi pengguna dan komunitas keamanan sebuah kisah peringatan, tetapi pemahaman yang tidak lengkap tentang ancamannya .