2026 年 6 月初,資安研究人員發現,以色列公司開發的 Hola Browser Windows 版(1.251.91.0)遭到駭客植入惡意程式,會偷偷在使用者電腦下載並執行門羅幣(Monero)挖礦程式。不久後,Hola 官方也證實,他們確實遭遇了供應鏈攻擊(Supply Chain Attack)。
本文將帶大家了解這起事件的來龍去脈、惡意挖礦程式的運作方式,以及受影響使用者應該注意什麼。
Hola Browser 是什麼?惡意程式是如何被發現的?
以色列公司 Hola VPN 最知名的產品是 VPN 服務,許多使用者利用它來突破地區限制、存取特定國家才能觀看的內容。
除了 VPN 之外,Hola 也推出了基於 Chromium 核心打造的瀏覽器 —— Hola Browser,內建 VPN 和 Proxy 功能。
這起事件最早是在 AppEsteem Windows Certified Application 認證計畫的例行檢查中被發現。
AppEsteem 的認證流程會由獨立資安公司審核軟體,確認:
- 軟體只包含官方宣稱的功能
- 不含廣告軟體
- 不含惡意程式
- 不會偷偷安裝其他元件
而且即使已經通過認證,後續仍會定期重新檢查。
就在一次例行複查中,研究人員發現 Hola Browser 1.251.91.0 版本中出現了一個未經授權的檔案。
安裝後會被放到:
C:\Program Files\Hola\me.exe
這個檔案立刻引起研究人員警覺,因為它具備多項可疑特徵:
- 不在官方檔案清單中
- 沒有時間戳記(Timestamp)
- 沒有數位簽章(Digital Signature)
- 程式碼高度混淆(Obfuscation)
- 能夠直接注入系統記憶體
更有趣的是,這個檔案並非每位使用者都會收到。
由於感染範圍有限,研究人員很快推測問題可能出在 Hola 軟體發布流程的某個環節遭到入侵。
後來 Hola 官方也證實:
這是一場供應鏈攻擊。
攻擊者如何利用 Hola Browser 挖掘門羅幣?
進一步分析發現,這個 me.exe 其實是一個隱藏式加密貨幣礦工(Crypto Miner),專門挖掘門羅幣(Monero)。
挖礦程式的原理其實很簡單:
利用受害者電腦的 CPU 或 GPU 算力替攻擊者賺取加密貨幣。
如果是使用者自己安裝當然沒問題,但若是在不知情的情況下被偷偷安裝,就屬於惡意程式。
常見影響包括:
- 電腦變慢
- CPU 長時間高負載
- 電費增加
- 硬體壽命縮短
值得注意的是:
挖礦木馬不會直接偷走你的加密貨幣。
它的目的只是偷用你的電腦資源替駭客賺錢。
為什麼駭客特別喜歡挖門羅幣?
Monero 於 2014 年推出,採用 CryptoNote 協定設計。
雖然知名度遠不如:
- Bitcoin
- Ethereum
但它有一個讓駭客愛不釋手的特點:
極高匿名性
Bitcoin 和 Ethereum 的交易紀錄都公開記錄在區塊鏈上。
任何人都能追蹤:
- 匯款來源
- 收款地址
- 交易紀錄
但 Monero 則透過特殊加密技術隱藏:
- 發送者
- 接收者
- 交易金額
因此大幅提高執法機關追查金流的難度。
一般 CPU 就能挖
另一個原因是:
Monero 的演算法特別適合使用一般 CPU 挖礦。
不像其他熱門加密貨幣需要:
- ASIC 礦機
- 高階顯示卡(GPU)
才能獲利。
因此感染大量一般電腦後,就能形成可觀收益。
惡意程式如何躲過防毒軟體?
研究人員拆解 me.exe 後發現,它做的第一件事就是:
把自己加入 Microsoft Defender 排除清單
換句話說:
它會主動告訴 Windows:
「不要掃描我。」
如此一來便能成功避開 Defender 的偵測。
接著它還會複製自己成:
HolaMonitorService.exe
並建立一個 Windows 背景服務:
hola_monitor_svc
藉此達成持久化(Persistence)。
只要電腦重新開機,它就會自動再次執行。
閒置時才開始挖礦
為了避免被使用者察覺,這隻挖礦程式並不會立刻全速運作。
它採用較隱密的策略:
- 使用者正在操作時保持安靜
- 電腦閒置時才開始挖礦
因此很多人可能只覺得:
- 電腦偶爾變慢
- 風扇變大聲
- CPU 使用率異常
卻不一定能立刻發現遭到感染。
如何保護自己?
Hola 官方表示,這次事件約影響:
0.1% 的使用者
並已經加強軟體更新與發布流程的安全措施,確保未來只會推送經過驗證與數位簽章的檔案。
如果你有使用 Hola Browser,尤其是 Windows 版本,建議:
✅ 立即更新至最新版
✅ 執行完整系統掃描
✅ 檢查是否存在以下檔案或服務
me.exe
HolaMonitorService.exe
hola_monitor_svc
重點整理
這起事件再次證明:
就算是合法且知名的軟體,也可能因供應鏈攻擊而被植入惡意程式。
本次 Hola Browser 事件中:
- 攻擊者入侵軟體發布流程
- 部分使用者下載到遭竄改版本
- 偷偷安裝門羅幣挖礦程式
- 自動加入 Defender 排除清單
- 建立常駐服務維持運作
- 使用者閒置時開始挖礦
雖然這類惡意程式通常不會直接竊取帳號密碼或加密貨幣,但仍可能導致:
- 電腦效能下降
- 電費增加
- 硬體耗損加速
- 系統安全性降低
因此平時除了保持軟體更新外,也建議在電腦與手機上安裝可信賴的安全防護軟體,並定期進行系統掃描,才能及早發現類似的供應鏈攻擊或惡意程式。
資料來源: How Hola Browser was weaponized to spread a Monero miner | Kaspersky official blog