Mac用户小心！苹果公证系统被爆四年漏洞，后门病毒ChillyHell竟一路绿灯？！

麻薯滑芝士

朋友们，今天这瓜吃得我后背发凉——原来咱们信任的苹果Mac“公证系统”，居然让一个名叫ChillyHell的后门病毒潜伏了整整四年！没错，四年啊，这鬼东西简直比谍战片的大反派还能藏。

这事是安全公司Jamf Threat Labs在今年9月9号爆出来的。他们今年5月在VirusTotal上分析样本的时候，突然发现这个坏东西——你猜怎么着？它早在2021年就通过了苹果官方公证，四年间大摇大摆伪装成合法软件，连个安全警告都没触发过！

也就是说，在这期间任何用户下载运行它，macOS都会温柔地说：“放心用吧，咱审核过了。” 就问你怕不怕？

说起来安全行业以前就听说过ChillyHell这号病毒，但一直没彻底搞明白它的底细。最早是2023年Mandiant一份内部报告提到它，把它跟一个叫“UNC4487”的黑客组织挂钩。这帮人可不是什么善茬，2022年还黑过乌克兰政府的网站！

当时那个攻击里还用了一款叫Matanbuchus的恶意软件（名字听起来像死亡金属乐队有没有？）。后来调查人员顺藤摸瓜，发现更多样本都用了同一个开发者证书签名的，其中两个明确叫ChillyHell。而Jamf这次发布的报告，终于把这货的老底揭了个清清楚楚。

公证系统：说好的安全防线呢？

苹果的公证机制（Notarization）本来是个好东西：开发者提交App，苹果自动扫描有没有恶意代码，通过了就给它盖个“已公证”的戳儿，以后你安装的时候Gatekeeper就不会跳出来吓人了。

但现实很骨感——ChillyHell居然是用正规开发者ID签的名，2021年就拿到了“认证”，地位跟正经软件一模一样！更绝的是，它这几年一直公开挂在Dropbox上供人下载……直到Jamf这次戳破窗户纸，苹果才赶紧把相关证书撤销了。

可撤销又怎样？已经中招的电脑还得靠用户自己手动杀毒……

ChillyHell技术大起底：模块化、会隐藏、还能暴力破解！

根据Jamf的分析，这病毒是个瞄准Intel架构Mac的模块化后门，用C++写的。它伪装成一个macOS小程序（Applet），但压根没放该有的AppleScript代码——摆明了空壳包装，专骗系统审核。

一旦运行，它先悄悄摸清你家Mac的底细，然后想尽办法赖着不走：

•给自己装成LaunchAgent（用户级）或LaunchDaemon（ root权限）；

•或者往Shell配置文件（比如.zshrc）里注命令——这招虽老但有用啊！

为了不被发现，它还偷偷修改文件时间戳（专业点叫timestomping），假装自己“生来就长这样”；甚至会自动打开Google首页给你看，营造“一切正常”的假象……

连网方面，它用的是硬编码的IP地址，通过DNS和HTTP跟远程服务器联络。每次动手前还故意休息个60~120秒（装得像正常流量似的）。

真正可怕的来了：它能持续接收指令，执行不同任务，还自带四大功能模块——

1.ModuleBackconnectShell：直接给攻击者开反向Shell通道，连接成功还蹦出一句中二标语：“Welcome to Paradise”（欢迎来到天堂）

2.ModuleUpdater：自我更新，随时变身更强版本；

3.ModuleLoader：从C2服务器下载额外payload，运行完还知道清场擦屁股；

4.ModuleSUBF：暴力破解神器！能下载工具和密码字典，狂猜本地用户账户——研究人员从文件名和行为推测，它尤其盯着Kerberos认证系统下手。

这种模块化设计+暴力破解能力，在Mac恶意软件里绝对算稀有品种！

为什么说这事特别值得警惕？

苹果一向宣传自家生态比Windows更安全，也确实Mac中招率低一些——但不是因为黑客不爱搞，而是他们现在更倾向“精准打击”：不求感染全世界，只求黑进“对的人”。

而ChillyHell这种公证过的后门，简直是为这种场景量身定做：目标准、隐蔽性强、长期潜伏。再加上它与乌克兰政府人员被黑事件有关，背后恐怕还涉跨国攻击和地缘政治。

如今黑产链里“出售访问权限”已经成了一门生意，这种病毒游走在间谍工具和商业漏洞利用之间，真的是防不胜防。

咱们普通用户该怎么防？

•别把“公证”当圣旨——它顶多算个安检门，不是金钟罩；

•尽量从Mac App Store下软件，第三方来源得核实开发者身份再安装；

•系统更新别拖延！苹果常悄悄补安全漏洞；

•装个靠谱的安全软件定期扫描，尤其如果你从事敏感行业；

•如果发现Mac变卡、出现不认识进程（比如/usr/local/bin/qtop藏了东西），别心大，该查就查！

说到底，安全不能光靠平台把关，自己多留个心眼总是没错的。这次ChillyHell露馅了，下次呢？——天知道还有多少“公证刺客”还没被发现呢。

leafchy

还以为苹果没有病毒没有漏洞呢。