Pelayar Hola Dikompromi: Pelombong Monero Senyap Ditemui dalam Pemasang Rasmi

Setelah dipasang, perisian hasad itu mengekalkan kewujudannya melalui beberapa tindakan yang disengajakan:

• Penempatan Fail: Pelombong itu menyalin dirinya ke

  C:\Program Files\Hola\HolaMonitorService.exe

  , laluan dan nama fail yang direka untuk kelihatan seperti komponen pemantauan pelayar yang sah .
• Penciptaan Perkhidmatan: Ia mencipta perkhidmatan Windows bernama hola_monitor_svc dan mengkonfigurasinya dengan jenis mula 0x00000002, memastikan ia akan dilancarkan secara automatik setiap kali sistem but .
• Pengelakan Defender: Untuk mengelak imbasan antivirus terbina dalam, perisian hasad itu menambah laluan pengecualian untuk Windows Defender .
• Pengaburan dan Tanpa Nama: Binari me.exe tidak ditandatangani, dikaburkan, dan tiada cap masa yang sah. Penyelidik keselamatan menyatakan bahawa nama fail itu sendiri nampaknya dipilih kerana penampilannya yang tidak ketara, membolehkannya bergabung dengan proses yang sah .

Permukaan Serangan Terhad tetapi Serius

Skop kompromi itu agak sempit. Sophos menganggarkan kira-kira 0.1% pengguna Pelayar Hola terjejas . Walaupun sebahagian kecil daripada pangkalan pengguna, insiden itu mewakili serangan rantaian bekalan buku teks: saluran pengedaran perisian yang dipercayai digunakan untuk melawan penggunanya sendiri, memintas penelitian keselamatan biasa yang pengguna lakukan pada pemasang rasmi.

Serangan itu bukanlah pelanggaran kod sumber Hola. Sebaliknya, ia menyerlahkan kelemahan saluran pembinaan dan pelepasan perisian—satu peringatan bahawa walaupun pembangun menulis kod yang bersih, kompromi semasa kompilasi, pembungkusan, atau pengedaran boleh merosakkan produk akhir .

Bagaimana Hola Bertindak Balas

Setelah Sophos X-Ops melaporkan penemuan itu, Hola bertindak untuk membendung ancaman dan mencegah berulangnya. Langkah-langkah pemulihan syarikat termasuk:

• Membina semula saluran pengedaran dari asas untuk menghapuskan sebarang akses sisa penyerang .
• Melaksanakan pengesahan tandatangan kod untuk menyekat binari yang tidak ditandatangani dan tidak sah melalui proses pembinaan .
• Memperkenalkan kawalan akses yang lebih ketat dan pemantauan berterusan pada infrastruktur pengedarannya .

Walaupun langkah-langkah ini, sehingga pendedahan awam pada 4 Jun 2026, persoalan kritikal masih belum terjawab. Hola tidak mendedahkan vektor serangan secara terbuka—bagaimana saluran itu mula-mula dicerobohi—identiti pelaku ancaman, atau tempoh akses mereka. Gambaran forensik penuh masih tertutup kepada orang ramai, satu jurang yang meninggalkan kedua-dua pengguna dan komuniti keselamatan dengan kisah amaran tetapi pemahaman ancaman yang tidak lengkap .