В Hola Browser нашли скрытый майнер. И то, как он туда попал, удивило даже создателей
NewsMakerМесяцами он тихо делал своё дело — пока кто-то случайно не задал лишний вопрос.
Проверка сертифицированной версии Hola Browser для Windows выявила неожиданный компонент me.exe, который устанавливался вместе с браузером и, по данным анализа Sophos X-Ops, работал как майнер криптовалюты. Файл не входил в перечень проверенных компонентов и появился из-за компрометации цепочки поставки.
Подозрительный файл обнаружили во время периодического тестирования Hola Browser версии 1.251.91.0 в программе сертификации AppEsteem. Ранее установщик прошёл проверку и не показывал нежелательного поведения, однако в некоторых повторных запусках записывал на диск файл C:\Program Files\Hola\me.exe.
Компонент не имел цифровой подписи и временной метки, содержал запутанный код и мог записывать данные в память. При этом me.exe появлялся не при каждой установке. Такая нестабильность указала на проблему не в фиксированном установочном пакете, а в канале доставки обновлений или инфраструктуре распространения.
Анализ показал признаки майнера на базе XMRig . Компонент me.exe добавлял исключение в Windows Defender, а при запуске с правами администратора копировал себя под именем HolaMonitorService.exe. Затем он создавал службу hola_monitor_svc, которая автоматически запускалась и использовала ресурсы компьютера во время простоя.
После уведомления через AppEsteem компания Hola подтвердила, что me.exe не должен был попадать на устройства пользователей. По результатам внутренней проверки и расследования Sygnia, инцидент затронул около 0,1% аудитории. Hola заявила, что злоумышленники не получили доступ к пользовательским данным и не похитили их.
Hola остановила затронутый канал доставки, удалила нежелательный компонент из инфраструктуры и пострадавших систем, а затем полностью перестроила процесс распространения обновлений. Компания также усилила проверку цифровых подписей, ограничила доступ к инфраструктуре и внедрила постоянный мониторинг.
История показывает, что безопасность программ зависит не только от качества кода, но и от надёжности всей инфраструктуры вокруг него. Даже продукт с хорошей репутацией и пройденными проверками может неожиданно получить лишний компонент, если кто-то нарушит целостность процесса доставки обновлений.
Проверка сертифицированной версии Hola Browser для Windows выявила неожиданный компонент me.exe, который устанавливался вместе с браузером и, по данным анализа Sophos X-Ops, работал как майнер криптовалюты. Файл не входил в перечень проверенных компонентов и появился из-за компрометации цепочки поставки.
Подозрительный файл обнаружили во время периодического тестирования Hola Browser версии 1.251.91.0 в программе сертификации AppEsteem. Ранее установщик прошёл проверку и не показывал нежелательного поведения, однако в некоторых повторных запусках записывал на диск файл C:\Program Files\Hola\me.exe.
Компонент не имел цифровой подписи и временной метки, содержал запутанный код и мог записывать данные в память. При этом me.exe появлялся не при каждой установке. Такая нестабильность указала на проблему не в фиксированном установочном пакете, а в канале доставки обновлений или инфраструктуре распространения.
Анализ показал признаки майнера на базе XMRig . Компонент me.exe добавлял исключение в Windows Defender, а при запуске с правами администратора копировал себя под именем HolaMonitorService.exe. Затем он создавал службу hola_monitor_svc, которая автоматически запускалась и использовала ресурсы компьютера во время простоя.
После уведомления через AppEsteem компания Hola подтвердила, что me.exe не должен был попадать на устройства пользователей. По результатам внутренней проверки и расследования Sygnia, инцидент затронул около 0,1% аудитории. Hola заявила, что злоумышленники не получили доступ к пользовательским данным и не похитили их.
Hola остановила затронутый канал доставки, удалила нежелательный компонент из инфраструктуры и пострадавших систем, а затем полностью перестроила процесс распространения обновлений. Компания также усилила проверку цифровых подписей, ограничила доступ к инфраструктуре и внедрила постоянный мониторинг.
История показывает, что безопасность программ зависит не только от качества кода, но и от надёжности всей инфраструктуры вокруг него. Даже продукт с хорошей репутацией и пройденными проверками может неожиданно получить лишний компонент, если кто-то нарушит целостность процесса доставки обновлений.