Несертифицированный криптомайнер обнаружен в поставке Hola Browser: нарушение цепочки поставок устранено

История началась с рутинной процедуры. Организация AppEsteem, основанная в 2016 году и сертифицированная по стандарту AMTSO (альянса по борьбе с вредоносным ПО), проводит периодические тесты продуктов, которые она ранее одобрила. Эти тесты призваны гарантировать, что поставляемые двоичные файлы точно соответствуют заявленной сертифицированной сборке. В ходе такой проверки участвовали несколько независимых вендоров безопасности, включая Sophos. Среди списка сертифицированных хэшей для установщика Hola Browser значились SHA256, SHA1 и MD5. AppEsteem выдала сертификат, убедившись, что приложение не выполняет неожиданных или нежелательных действий.

Однако при практическом тестировании против нескольких продуктов безопасности картина изменилась. Sophos и еще несколько разработчиков антивирусов обнаружили компонент, записываемый на диск по пути C:\Program Files\Hola\me.exe. Этот файл был классифицирован как потенциально нежелательное приложение. Первичный анализ выявил ряд тревожных сигналов: me.exe не числился в списке сертифицированных компонентов, не имел цифровой подписи, временной метки, содержал обфусцированный (запутанный) код и обладал способностью к записи в память. Каждый из этих признаков по отдельности не является фатальным, но их совокупность в директории сертифицированного приложения указывала на проблему в конвейере поставки.

Ключевым моментом стало то, что AppEsteem не видела этот файл в каждом прогоне теста. Это исключало версию с просто фиксированным установщиком и указывало на вариативность пути доставки: различие могло зависеть от канала сборки, упаковки, пост-установочной загрузки, поведения CDN (сети доставки контента) или конфигурации конвейера релизов. Иными словами, сертификация подтверждала одну версию Hola Browser, а конвейер в некоторых случаях доставлял совершенно другую, что является признаком нарушения целостности цепочки поставок.

Как сообщили в Sophos, исследователи эскалировали проблему в AppEsteem, а оттуда информация была передана разработчикам Hola. Генеральный директор Hola Ави Раз Коэн подтвердил, что me.exe не должен был распространяться с установщиком. В комментарии для прессы он заявил, что собственный мониторинг безопасности компании уже обнаружил аномальную активность в конвейере обновлений. Приоритетом стала остановка затронутого канала доставки и удаление нежелательного ПО из инфраструктуры и с устройств пользователей. Для расследования была привлечена независимая фирма Sygnia, чьи выводы подтвердили: имела место компрометация цепочки поставок.

Анализ самого me.exe, который Sophos классифицировала как Troj/GoMiner-B, показал, что это криптомайнер. Внутри файла содержались строки, связанные с майнингом, такие как "убит осиротевший майнер с PID %d" и "пользователь активен, остановка майнера". Также был обнаружен путь к модулю Go, указывающий на майнер XMRig, предназначенный для добычи криптовалюты Monero. При запуске с правами администратора бинарник копировал себя в папку Hola под именем HolaMonitorService.exe и создавал службу с автозапуском, которая активировалась при простое системы.

Важно отметить, что, по словам разработчиков Hola, инцидент затронул лишь 0,1% пользователей, а утечки пользовательских данных не произошло. После обнаружения проблема была исправлена: конвейер распространения полностью перестроили, внедрили расширенную проверку цифровых подписей и усилили контроль доступа.

Этот случай ярко демонстрирует ценность индустриальных программ сертификации. Они служат не просто формальностью, а реальным механизмом выявления аномалий, когда конвейер поставляет больше, чем было задекларировано и проверено. Реакция Hola - образцовая: обнаружение, расследование, привлечение внешних экспертов и устранение коренной причины. Для конечных пользователей это напоминание о том, что даже легитимное и сертифицированное ПО может быть подвержено атакам на цепочку поставок, а сотрудничество между вендорами безопасности и разработчиками - единственный способ быстро находить и нейтрализовать подобные угрозы.

MD5

• 8462f61e68b37d220eab2462b3cbcec8

SHA1

• 8046735d354814bf9ef9a053cb9cad8cfec261f2

SHA256

• 174086534a2de730058465a4a4e231ce3778ab17ebebfd7f62b3bf9750bc7bdb
• e3541caf708c075f0bb22fc68b03acd8457fea7cf0732ea935b1eb016d1c7721