Attacco alla supply chain di Hola Browser: un cryptominer nascosto nell'installer per Windows

Una volta installato, il malware metteva radici profonde nel sistema attraverso una serie di azioni deliberate:

• Posizionamento del file: Il miner si copiava in

  C:\Program Files\Hola\HolaMonitorService.exe

  , un percorso e un nome file studiati per sembrare un legittimo componente di monitoraggio del browser .
• Creazione del servizio: Creava un servizio Windows chiamato hola_monitor_svc e lo configurava con un tipo di avvio 0x00000002, assicurandosi che si lanciasse automaticamente a ogni avvio del sistema .
• Elusione di Defender: Per aggirare le scansioni antivirus integrate, il malware aggiungeva un percorso di esclusione per Windows Defender .
• Offuscamento e anonimato: Il file binario me.exe era privo di firma digitale e di timestamp valido ed era offuscato. I ricercatori di sicurezza hanno notato che il nome stesso del file sembrava scelto per la sua apparenza anonima, permettendogli di confondersi con i processi legittimi .

Una superficie d'attacco limitata ma grave

La portata della compromissione è stata relativamente contenuta. Sophos ha stimato che circa lo 0,1% degli utenti di Hola Browser sia stato colpito . Sebbene una piccola frazione della base utenti, l'incidente rappresenta un classico attacco alla supply chain: un canale di distribuzione software fidato, rivoltato contro i propri utenti, che elude il normale controllo di sicurezza che gli utenti riservano agli installer ufficiali.

L'attacco non è stato una violazione del codice sorgente di Hola. Ha invece messo in luce la vulnerabilità della pipeline di compilazione e rilascio del software: un promemoria che, anche quando gli sviluppatori scrivono codice pulito, una compromissione durante la compilazione, il pacchettamento o la distribuzione può avvelenare il prodotto finale .

La risposta di Hola

Una volta che Sophos X-Ops ha segnalato la scoperta, Hola si è mossa per contenere la minaccia e prevenirne il ripetersi. Le azioni correttive dell'azienda hanno incluso:

• Ricostruire da zero la pipeline di distribuzione per eliminare qualsiasi accesso residuo dell'aggressore .
• Implementare la verifica della firma del codice per bloccare il passaggio di file binari non firmati e non autorizzati attraverso il processo di build .
• Introdurre controlli di accesso più rigorosi e un monitoraggio continuo sulla propria infrastruttura di distribuzione .

Nonostante queste misure, al momento della divulgazione pubblica, il 4 giugno 2026, rimangono domande critiche senza risposta. Hola non ha rivelato pubblicamente il vettore d'attacco – come la pipeline sia stata violata la prima volta – né l'identità dell'autore della minaccia o la durata del suo accesso. Il quadro forense completo resta chiuso al pubblico, una lacuna che lascia sia agli utenti che alla comunità della sicurezza informatica una storia ammonitrice, ma con una comprensione incompleta della minaccia .