Jamf Threat Labs har upptäckt en ny variant av skadlig kod från malware-familjen ”ChillyHell”. ChillyHell är en sofistikerad bakdörr för macOS som har lyckats passera Apples säkerhetskontroller och har legat öppet tillgänglig online i flera år. Upptäckten visar hur snabbt hoten mot macOS utvecklas och hur de blir allt mer svårupptäckta.

I den nya rapporten ChillyHell: A Deep Dive into a Modular macOS Backdoor, redogör Jamf Threat Labs för hur en ny variant av skadlig kod har laddats upp till VirusTotal, en tjänst där filer granskas mot ett stort antal virusprogram för att avgöra om de är skadliga. När Jamf Threat Labs upptäckte den skadliga koden hade den ännu inte markerats som farlig av de vanliga antivirusprogrammen.

ChillyHell dokumenterades på VirusTotal först 2025, men hade redan 2021 passerat Apples säkerhetskontroll. Programmet har alltså passerat obemärkt i flera år.

“Den här typen av upptäckter visar på behovet av stärkta säkerhetsrutiner för macOS-användare, och påminner om att även till synes säkra system och program kan innehålla skadlig kod,” säger Peo Strindlund på Jamf.

ChillyHell avslöjades ursprungligen i en intern rapport 2023, där det kopplades till en aktör som riktade sina attacker mot ukrainska tjänstemän. Den modulära uppbyggnaden gör det möjligt för angriparen att aktivera fjärråtkomst, ladda ner ytterligare skadlig kod och hacka lösenord genom bruteforce-attacker. ChillyHell har även legat öppet publicerat på Dropbox sedan 2021.

För att undvika upptäckt förlitar sig ChillyHell på ovanliga taktiker för macOS, såsom manipulation av tidsstämplar (“timestomping”) och förmågan att växla mellan flera C2-protokoll (command-and-control). Detta gör hotet både flexibelt och svårspårat.

Upptäckten gjordes under en provanalys på VirusTotal, där Jamf Threat Labs identifierade en avvikande fil med hjälp av en metod för att spåra och kartlägga processer.