CHILLYHELL MacOS Backdoor

साइबर सुरक्षा विशेषज्ञों ने Apple के macOS इकोसिस्टम को निशाना बनाने वाले एक नए मैलवेयर परिवार का पता लगाया है। इसे CHILLYHELL नामक एक मॉड्यूलर बैकडोर बताया गया है, जो अपने लचीलेपन और उन्नत दृढ़ता विधियों के कारण गंभीर चिंताएँ पैदा कर रहा है।

उत्पत्ति और श्रेय

CHILLYHELL को UNC4487 नामक एक अवर्गीकृत ख़तरा समूह से जोड़ा गया है, जिसके कम से कम अक्टूबर 2022 से सक्रिय होने की संभावना है। ख़ुफ़िया रिपोर्टों से पता चलता है कि यह समूह संभवतः एक जासूसी समूह है। इसके कार्यों में यूक्रेनी सरकारी संस्थाओं की वेबसाइटों को हैक करना और आगंतुकों को मटनबुचस या CHILLYHELL मैलवेयर चलाने के लिए उकसाना शामिल है।

तकनीकी पृष्ठभूमि

यह बैकडोर C++ में लिखा गया है और इंटेल-आधारित macOS सिस्टम पर चलने के लिए डिज़ाइन किया गया है। 2 मई, 2025 को खोजे गए एक नए CHILLYHELL नमूने से पता चला है कि इस मैलवेयर को 2021 में Apple द्वारा नोटरीकृत किया गया था और तब से यह ड्रॉपबॉक्स पर सार्वजनिक रूप से होस्ट किया गया है। इस खोज के बाद, Apple ने संबंधित डेवलपर प्रमाणपत्र रद्द कर दिए।

संक्रमण और दृढ़ता तंत्र

पीड़ित के सिस्टम पर तैनात होने के बाद, CHILLYHELL व्यापक होस्ट प्रोफाइलिंग करता है और फिर तीन अलग-अलग तरीकों का उपयोग करके दृढ़ता स्थापित करता है। इसके बाद, यह HTTP या DNS के माध्यम से एक हार्ड-कोडेड कमांड-एंड-कंट्रोल (C2) सर्वर से संपर्क करता है और निर्देश प्राप्त करने के लिए एक कमांड लूप में प्रवेश करता है।

दृढ़ता सेटअप में कई रणनीतियाँ शामिल हैं:

• स्वयं को LaunchAgent या सिस्टम LaunchDaemon के रूप में स्थापित करना
• लॉन्च कमांड सम्मिलित करने के लिए .zshrc, .bash_profile, या .profile जैसे शेल प्रोफाइल को संशोधित करना

टाइमस्टॉम्पिंग के माध्यम से चोरी

एक विशेष रूप से उल्लेखनीय बचाव तकनीक है चिल्लीहेल द्वारा टाइमस्टॉम्पिंग का उपयोग, जो दुर्भावनापूर्ण फ़ाइलों के टाइमस्टैम्प को वैध सिस्टम आर्टिफैक्ट्स के साथ मिलाने के लिए बदल देता है। यदि अपर्याप्त विशेषाधिकारों के कारण सीधे सिस्टम कॉल संभव नहीं हैं, तो मैलवेयर डिफ़ॉल्ट रूप से शेल कमांड का उपयोग करता है, जैसे:

• touch -c -a -t (पहुँच समय संशोधन के लिए)
• स्पर्श -c -m -t (संशोधन समय समायोजन के लिए)

संदेह से बचने के लिए दोनों कमांडों में पिछली तारीख का टाइमस्टैम्प स्ट्रिंग शामिल है।

कमांड क्षमताएं

CHILLYHELL का मॉड्यूलर डिज़ाइन ऑपरेटरों को कई तरह के कार्य प्रदान करता है। समर्थित कमांड में शामिल हैं:

• C2 सर्वर पर रिवर्स शेल लॉन्च करना
• अपडेट किए गए मैलवेयर संस्करण डाउनलोड करना
• अतिरिक्त पेलोड प्राप्त करना और निष्पादित करना
• /etc/passwd से उपयोगकर्ता खातों की गणना करने के लिए ModuleSUBF मॉड्यूल चलाना
• C2 सर्वर द्वारा प्रदान की गई पासवर्ड सूची का उपयोग करके ब्रूट-फोर्स हमले करना

एक परिष्कृत macOS खतरा

कई स्थायी तंत्रों, बहुमुखी संचार प्रोटोकॉल और एक मॉड्यूलर ढाँचे के साथ, CHILLYHELL एक असामान्य रूप से परिष्कृत macOS मैलवेयर के रूप में सामने आता है। टाइमस्टॉम्पिंग और पासवर्ड क्रैकिंग जैसी विशेषताएँ इसे प्लेटफ़ॉर्म पर मौजूद आम खतरों से अलग बनाती हैं।

एक चिंताजनक बात यह है कि मैलवेयर Apple द्वारा नोटरीकृत था, जिससे यह साबित होता है कि सभी नोटरीकृत सॉफ़्टवेयर सुरक्षित नहीं होते। यह उपयोगकर्ताओं और संगठनों के लिए सतर्क रहने और विश्वसनीयता के संकेतक के रूप में केवल कोड-हस्ताक्षर या नोटरीकरण पर निर्भर न रहने की आवश्यकता को उजागर करता है।