Hola Windows 版浏览器遭入侵，被用于分发加密货币矿机

Hola 浏览器的 Windows 版本在一次供应链攻击中被入侵，攻击者通过该浏览器分发了一个未申报的可执行文件，研究人员确认该文件为加密货币矿机。

这一入侵事件是在 Hola 浏览器为通过 AppEsteem 认证而进行的定期合规性检查中发现的。该浏览器此前曾通过该项认证。

Hola 是一家以色列公司，以其 Hola VPN 闻名。该 VPN 服务允许用户通过其他用户的设备或付费代理基础设施路由网络流量，从而绕过地域限制，访问不同国家的内容。

Hola 浏览器基于 Chromium 构建，并将 VPN 和代理功能直接集成到浏览器中。

该公司及其产品过去曾因不透明的流量处理方式而引发争议，这与其旗下名为 Luminati Networks 的商业服务运营有关。该服务曾将免费用户转变为代理节点。

在最近的应用程序完整性检查中，Sophos 及其他参与评估流程的网络安全公司发现，在某些情况下，一个名为「me.exe」的未申报可执行文件被安装到了 C:\Program Files\Hola\ 目录下。

该文件未经过认证，没有时间戳，也没有数字签名，包含混淆代码，并且能够写入内存。

经进一步检查，Sophos 发现了表明该二进制文件是门罗币加密货币矿机的迹象，其中包括指向其真实性质的字符串。

该矿机会添加 Windows Defender 排除规则，将自身复制到 Program Files 目录并命名为「HolaMonitorService.exe」，创建名为「hola_monitor_svc」的自启动 Windows 服务，并在计算机空闲时运行。

Hola 的回应

AppEsteem 已将调查结果告知 Hola，Hola 确认其遭受了供应链入侵。网络安全公司 Sygnia 也独立检测到了此次入侵。

尽管如此，该软件供应商表示，只有约 0.1% 的用户受到影响，并且没有证据表明用户数据被访问、窃取或泄露。

Hola 首席执行官 Avi Raz Cohen 保证道：「我们此后已完全重建了分发管道，实施了先进的代码签名验证，并在整个基础设施中引入了更严格的访问控制和持续监控。」

「这些措施旨在确保只有经过申报、认证和签名的组件才会交付给我们的用户。」

BleepingComputer 已联系 Hola，希望获取更多有关入侵如何发生、攻击者是谁以及其他平台的客户端是否受到影响的信息，但截至发稿时尚未收到回复。