苹果安全失守！Mac 恶意软件 ChillyHell 大曝光

摘要：网络安全公司 Jamf Threat Labs 于 9 月 9 日披露了一款名为“ChillyHell”的恶意后门程序。更令人震惊的是，这款针对 Intel 架构 Mac 的后门，早在2021 年就通过了苹果官方公证，并在此后的四年间悄无声息地潜伏运行，直到

网络安全公司 Jamf Threat Labs 于 9 月 9 日披露了一款名为 “ChillyHell” 的恶意后门程序。更令人震惊的是，这款针对 Intel 架构 Mac 的后门，早在 2021 年就通过了苹果官方公证，并在此后的四年间悄无声息地潜伏运行，直到 2025 年才首次被揭露。

苹果的公证机制（Notarization）原本是 Gatekeeper 的重要补充，旨在通过自动化扫描阻止已知恶意软件。然而，ChillyHell 利用合法开发者 ID 成功绕过检测，伪装成正常的 macOS 小程序，被赋予与正规软件同等的信任。Jamf 指出，该恶意程序曾通过 Dropbox 公布分发，用户运行时并不会触发任何安全警告。

Jamf 的技术分析显示，ChillyHell 是用 C++ 编写的模块化后门。它在系统中建立持久化方式多样，包括以 LaunchAgent 或 LaunchDaemon 驻留，甚至会修改.zshrc等 Shell 配置文件来确保存活。为了掩盖行为，它会篡改文件时间戳，并伪装成打开 Google 首页来迷惑用户。

在功能上，ChillyHell 具备多个罕见模块：

ModuleBackconnectShell：建立反向 Shell，并显示“Welcome to Paradise”；

ModuleUpdater：支持自我更新；

ModuleLoader：下载并执行新载荷；

ModuleSUBF：利用工具和字典对本地账户进行暴力破解，疑似瞄准 Kerberos 认证系统。

其通信机制也具备隐蔽性：通过硬编码 IP 结合 DNS 和 HTTP 协议，以 60 至 120 秒不等的间隔执行任务。Jamf 强调，这类获得公证的后门，非常适合用于针对性的定向攻击。