Bên trong vụ tấn công chuỗi cung ứng Hola Browser: Một công cụ đào XMRig tinh vi và quy trình phát hành bị xâm phạm

Sau khi cài đặt, phần mềm độc hại này thiết lập tính bền vững thông qua một loạt hành động có chủ đích:

• Đặt tệp: Công cụ đào tự sao chép vào đường dẫn

  C:\Program Files\Hola\HolaMonitorService.exe

  , một vị trí và tên tệp được thiết kế để trông giống như một thành phần giám sát hợp pháp của trình duyệt .
• Tạo dịch vụ: Nó tạo một dịch vụ Windows có tên hola_monitor_svc và cấu hình với kiểu khởi động là 0x00000002, đảm bảo nó sẽ tự động chạy mỗi khi hệ thống khởi động .
• Lẩn tránh Windows Defender: Để qua mặt các bản quét chống vi-rút tích hợp, phần mềm độc hại đã thêm một đường dẫn loại trừ cho Windows Defender .
• Che giấu và ẩn danh: Tệp nhị phân me.exe không có chữ ký số, bị làm rối mã và không có dấu thời gian hợp lệ. Các nhà nghiên cứu bảo mật cho rằng chính tên tệp dường như được chọn vì vẻ ngoài không có gì nổi bật, cho phép nó hòa lẫn vào các tiến trình hợp pháp .

Bề mặt tấn công hạn chế nhưng nghiêm trọng

Phạm vi của vụ xâm phạm tương đối hẹp. Sophos ước tính khoảng 0,1% người dùng Hola Browser bị ảnh hưởng . Tuy chỉ là một phần nhỏ trong tổng số người dùng, nhưng vụ việc đại diện cho một cuộc tấn công chuỗi cung ứng kiểu mẫu: một kênh phân phối phần mềm đáng tin cậy bị biến thành công cụ chống lại chính người dùng của nó, qua mặt sự kiểm tra bảo mật thông thường mà người dùng dành cho các trình cài đặt chính thức.

Cuộc tấn công không phải là một vụ vi phạm mã nguồn của Hola. Thay vào đó, nó làm nổi bật điểm yếu trong quy trình xây dựng và phát hành phần mềm — một lời nhắc nhở rằng ngay cả khi các nhà phát triển viết mã sạch, một sự xâm phạm trong quá trình biên dịch, đóng gói hoặc phân phối vẫn có thể đầu độc sản phẩm cuối cùng .

Hola đã phản ứng như thế nào

Sau khi Sophos X-Ops báo cáo phát hiện, Hola đã hành động để ngăn chặn mối đe dọa và ngăn chặn tái diễn. Các bước khắc phục của công ty bao gồm:

• Xây dựng lại quy trình phân phối từ đầu để loại bỏ mọi quyền truy cập còn sót lại của kẻ tấn công .
• Triển khai xác minh chữ ký mã để chặn các tệp nhị phân không có chữ ký và không được ủy quyền vượt qua quá trình xây dựng .
• Áp dụng các biện pháp kiểm soát truy cập chặt chẽ hơn và giám sát liên tục trên hạ tầng phân phối .

Tuy nhiên, tính đến thời điểm công bố công khai vào ngày 4 tháng 6 năm 2026, những câu hỏi quan trọng vẫn chưa có lời giải đáp. Hola chưa công khai tiết lộ véc-tơ tấn công — cách mà quy trình phân phối bị vi phạm lần đầu — danh tính của tác nhân đe dọa, hoặc thời gian mà kẻ tấn công đã có quyền truy cập. Bức tranh pháp y đầy đủ vẫn chưa được công bố, một khoảng trống để lại cho cả người dùng và cộng đồng bảo mật một bài học cảnh giác nhưng với sự hiểu biết chưa đầy đủ về mối đe dọa .