ChillyHell adalah malware backdoor modular yang menargetkan sistem operasi macOS dan telah lolos proses notarization Apple sejak 2021. Dengan status tersebut, malware ini mampu melewati pemeriksaan keamanan resmi Apple dan beredar selama bertahun-tahun tanpa terdeteksi. Peneliti dari Jamf Threat Labs mengungkap bahwa ChillyHell ditulis dalam bahasa C++ untuk arsitektur Intel Mac serta memiliki sifat modular yang memungkinkan penyerang menambahkan berbagai komponen tambahan sesuai kebutuhan. Malware ini tidak hanya melakukan profiling sistem korban untuk mengumpulkan data, tetapi juga dirancang agar tetap tersembunyi dan aktif dengan teknik persistence yang sulit dideteksi.
Dari sisi teknis, ChillyHell menanamkan dirinya ke sistem melalui berbagai cara, seperti membuat LaunchAgent pada akun pengguna biasa atau LaunchDaemon pada level sistem sehingga aktif sejak booting. Selain itu, malware ini menyisipkan perintah berbahaya ke file profil shell pengguna seperti .zshrc atau .bash_profile, sehingga setiap sesi terminal baru akan mengeksekusi kode jahat. Untuk menghindari deteksi, ChillyHell menggunakan teknik timestomping, yakni memanipulasi timestamp file agar terlihat seolah-olah sudah lama ada dalam sistem. Komunikasi dengan server pengendali (C2) juga fleksibel, dapat dilakukan lewat protokol TCP/HTTP maupun DNS, dengan sejumlah alamat IP dan port yang sudah diprogram secara permanen. Sampel terbaru ChillyHell bahkan ditemukan kembali diunggah ke VirusTotal pada Mei 2025, yang menandakan malware ini masih aktif digunakan.
Kasus ChillyHell menjadi peringatan penting bahwa proses notarization Apple bukanlah jaminan penuh keamanan bagi pengguna macOS. Fakta bahwa malware ini dapat bertahan hampir empat tahun dengan status aplikasi “resmi” menunjukkan adanya celah yang bisa dimanfaatkan aktor siber. Setelah laporan ini dipublikasikan, Apple dilaporkan mencabut sertifikat developer yang digunakan penyebar malware. Para pakar keamanan menyarankan pengguna untuk berhati-hati saat memasang aplikasi dari luar App Store, secara rutin memeriksa file LaunchAgents/Daemons, serta mengaudit file profil shell untuk mendeteksi aktivitas mencurigakan. Dengan sifat modular dan kemampuan beradaptasi yang tinggi, ChillyHell menjadi salah satu contoh nyata bahwa macOS pun tidak kebal dari ancaman siber tingkat lanjut.
Sumber: