Jamf Threat Labs har identifierat en ny variant av den skadliga kodfamiljen ChillyHell, en modulär bakdörr som specifikt riktar sig mot macOS. Trots Apples avancerade säkerhetskontroller har hotet lyckats passera obemärkt och legat öppet tillgängligt på nätet under flera år. Upptäckten understryker hur snabbt cyberhot mot macOS utvecklas – och hur svåra de blivit att upptäcka i tid.
Upptäckten av den nya varianten
I den nyligen publicerade rapporten ChillyHell: A Deep Dive into a Modular macOS Backdoor beskriver Jamf Threat Labs hur en ny ChillyHell-variant laddats upp på VirusTotal – en plattform där filer analyseras mot hundratals antivirusprogram. Trots att filen innehöll avancerad skadlig kod var den initialt inte markerad som farlig av etablerade antiviruslösningar.
Det visade sig dessutom att samma kod redan 2021 lyckats passera Apples säkerhetskontroller, vilket innebär att den kunnat ligga aktiv och oanad under flera år innan upptäckten 2025.
Hotets bakgrund
ChillyHell-dokumentationen går tillbaka till 2023, då hotet först kopplades till en angripargrupp som riktade attacker mot ukrainska tjänstemän. Kodens modulära design gör den särskilt farlig – den kan enkelt anpassas för att:
- Ge fjärråtkomst till infekterade system.
- Ladda ner ytterligare malware i flera steg.
- Genomföra bruteforce-attacker mot lösenord.
Rapporter bekräftar dessutom att koden legat öppet publicerad på Dropbox sedan 2021, vilket ytterligare understryker hotets långvariga närvaro.
Taktiker som kringgår skydd
ChillyHell använder ovanliga och sofistikerade metoder för att undgå upptäckt:
- Timestomping: manipulation av tidsstämplar för att dölja skadliga filer.
- Dynamiska C2-protokoll: förmågan att växla mellan flera command-and-control-kanaler.
- Flexibilitet och modularitet: vilket gör det svårt för traditionella säkerhetslösningar att blockera hotet permanent.
Enligt Jamf Threat Labs upptäcktes hotet under en rutinanalys på VirusTotal, då forskarna kunde identifiera avvikande processer och beteendemönster som indikerade på något okänt.
Kommentar från Jamf
“Den här typen av upptäckter visar på behovet av stärkta säkerhetsrutiner för macOS-användare. Även till synes säkra system kan innehålla bakdörrar som gått under radarn i flera år,” säger Peo Strindlund på Jamf.
Betydelsen för cybersäkerhet
Upptäckten av ChillyHell är en påminnelse om att hotlandskapet för macOS är i ständig förändring. En bakdörr som lyckas undgå både Apples säkerhetsfilter och antivirusprogram under flera år visar hur viktigt det är för företag att komplettera med specialiserade säkerhetslösningar.
Jamf Threat Labs arbete visar också värdet av proaktiva analyser, där forskare med hjälp av avancerade metoder kan identifiera hot som annars hade förblivit osynliga.
Om Jamf Threat Labs
Jamf Threat Labs består av ett globalt team av hotforskare och cybersäkerhetsexperter som fokuserar på att analysera och dokumentera nya hot mot macOS och mobila plattformar. Genom att publicera sina resultat stärker de medvetenheten hos både företag och individer, samtidigt som de hjälper organisationer att utveckla bättre säkerhetsrutiner.
