Simak berita ini dan topik lainnya di Giok4D.
Peneliti keamanan dari Jamf Threat Labs mengungkap temuannya soal backdoor yang berkeliaran di App Store untuk Mac.
Malware tersebut dinamai ChillyHell, dan diketahui sudah bisa mengakali sistem keamanan App Store Mac sejak 2021. Artinya, malware ini bisa berjalan di sistem Mac tanpa memicu munculnya peringatan ke pengguna.
Keluarga malware ChillyHell sudah terendus kehadirannya sejak lama. Laporan Mandiant pada tahun 2023 menyebutkan malware ini berkaitan dengan geng hacker bernama UNC4487, yang dikenal karena menjebol situs pemerintahan Ukraina pada 2022.
Dalam serangan tersebut juga menyusupkan malware Matanbuchus. Kemudian tim peneliti menemukan sampel tambahan yang menghubungkan malware tersebut dengan sertifikat pengembang yang sama. Dua di antaranya membawa nama ChillyHell, dan laporan Jamf kini melengkapi data teknis yang belum lengkap dari malware tersebut.
Sistem keamanan yang sukses diakali oleh ChillyHell ini bertujuan melindungi pengguna dengan mengecek software yang mungkin mengandung tanda-tanda malware. Jadi saat pengembang mengirimkan aplikasi, Apple langsung memindai aplikasi tersebut. Jika aplikasi berhasil melewatinya dan mendapat status “notarized”, maka aplikasi itu bisa berjalan tanpa memicu peringatan Gatekeeper di macOS.
ChillyHell dibuat menggunakan ID pengembang dan mendapat status notarized pada 2021, yang membuatnya bisa berkeliaran layaknya software normal, demikian dikutip infoINET dari Apple Insider, Minggu (14/9/2025).
Bahkan sejak saat itu, aplikasi ini disimpan secara publik di Dropbox. Status sertifikatnya itu baru dicabut oleh Apple setelah Jamf mengungkap temuannya ini.
ChillyHell dibuat menggunakan C++ modular, dan mengincar Mac berbasis Intel. Sampel yang diuji meniru applet macOS yang tidak berbahaya. Namun saat dijalankan, malware ini melakukan profiling terhadap perangkat korban, dan membuka koneksi command and control.
Malware ini bahkan bisa menginstalasi dirinya sebagai LaunchAgent untuk pengguna, LaunchDaemon untuk akses root, dan bahkan memasukkan perintah dalam file profil shell.
Apple memang kini sudah memblokir sertifikat ChillyHell sehingga tak lagi bisa diinstal. Namun perangkat yang sudah terinfeksi harus dipindai dan dibersihkan secara manual.
