:strip_icc()/kly-media-production/medias/3226349/original/053099500_1599036996-New_Project__7_.jpg)
Para para penjahat siber secara aktif mengeksploitasi sistem kepercayaan inti Apple, menggunakan sertifikat pengembang resmi yang sah untuk menyuntikkan varian malware baru ke komputer Mac, memungkinkan perangkat lunak berbahaya melewati mekanisme keamanan bawaan macOS. Insiden terbaru melibatkan varian yang diperbarui dari MacSync Stealer, yang berhasil menyusup sebagai aplikasi Swift yang ditandatangani secara digital dan telah dinotarisasi Apple, seperti yang terungkap oleh Jamf Threat Labs pada akhir 2025. Pendekatan ini secara efektif menembus perlindungan Gatekeeper macOS, menunjukkan eskalasi signifikan dalam strategi aktor ancaman yang menargetkan ekosistem Apple.
Malware MacSync, yang juga dikenal sebagai Mac.C dan pertama kali muncul pada April 2025, didistribusikan melalui citra disk yang menyamar sebagai penginstal aplikasi perpesanan yang sah. Berbeda dengan kampanye sebelumnya yang memerlukan interaksi pengguna eksplisit atau trik rekayasa sosial, varian terbaru ini mengeksekusi seperti aplikasi tepercaya tanpa memerlukan keterlibatan baris perintah. Setelah diluncurkan, aplikasi tersebut secara diam-diam mengambil skrip yang dienkode dari server jarak jauh, kemudian menjalankan muatan berbahaya. Jamf Threat Labs menemukan dan melaporkan sertifikat pengembang terkait kepada Apple, yang kemudian mencabutnya, tetapi insiden ini menyoroti kerentanan berkelanjutan dalam rantai kepercayaan digital.
Penyalahgunaan sertifikat pengembang Apple bukanlah fenomena baru, namun skala dan kecanggihannya meningkat. Para peretas secara rutin memperoleh atau mencuri sertifikat ID Pengembang yang sah dari pasar gelap. Dengan perangkat lunak berbahaya yang ditandatangani menggunakan ID Apple asli, malware tersebut muncul sebagai aplikasi yang sepenuhnya sah bagi sistem operasi, sehingga melewati peringatan standar yang biasanya menghentikan aplikasi tidak terverifikasi untuk berjalan. Para aktor ancaman juga menggunakan taktik "umpan dan ganti" yang cerdik; mereka mengirimkan versi "bersih" dari kode mereka untuk tinjauan otomatis Apple, dan setelah persetujuan, aplikasi tersebut mengunduh muatan malware yang sebenarnya dari server jarak jauh pasca-instalasi. Pendekatan ini mempersulit pemindaian awal untuk mendeteksi ancaman, karena kode berbahaya tetap berada di cloud hingga saat-saat terakhir.
Lanskap ancaman malware macOS terus berkembang pesat. Pada tahun 2024, terdapat "peningkatan signifikan baik dalam variasi maupun aksesibilitas" malware macOS. Laporan dari Palo Alto Networks Unit42 menunjukkan infostealer yang menargetkan macOS melonjak 101% pada paruh kedua tahun 2024, dengan jenis malware umum seperti Poseidon, Atomic, dan Cthulhu. Red Canary juga mengamati peningkatan 400% dalam ancaman macOS dari tahun 2023 hingga 2024, sebagian besar didorong oleh infostealer. Patrick Wardle, seorang peneliti keamanan terkemuka yang berspesialisasi dalam produk Apple, mencatat munculnya 22 keluarga malware macOS baru pada tahun 2024.
Jason Soroko, seorang rekan senior di Sectigo, menjelaskan bahwa infostealer ini mengeksploitasi AppleScript untuk melewati kontrol keamanan dan menipu pengguna agar mengungkapkan kredensial. Senada dengan itu, Jaron Bradley, direktur Jamf Threat Labs, menekankan peran signifikan infostealer dalam peningkatan malware di ekosistem macOS. Patrick Wardle sebelumnya telah menyatakan kekhawatiran bahwa jika pengguna sepenuhnya mempercayai klaim Apple mengenai keamanan, mereka cenderung akan mempercayai semua perangkat lunak yang dinotarisasi.
Apple secara berkala menanggapi insiden semacam itu dengan mencabut sertifikat pengembang yang bermasalah, menonaktifkan akun pengembang, dan mencabut sertifikat terkait. Proses pencabutan ini berfungsi sebagai "pemutus sirkuit digital", secara instan menghentikan aplikasi yang ditandatangani dengan kunci tersebut agar tidak berjalan di perangkat mana pun di seluruh dunia. Namun, para penulis malware seringkali dengan cepat menandatangani ulang kode mereka menggunakan ID pengembang baru, mengubahnya menjadi "permainan tanpa akhir," seperti yang dijelaskan oleh eksekutif Apple Craig Federighi pada tahun 2022. Hal ini menunjukkan tantangan berkelanjutan dalam upaya mitigasi Apple.
Implikasi dari tren ini sangat luas. Kemudahan memperoleh layanan malware-as-a-service (MaaS) untuk macOS, dengan harga sekitar $1.500 per bulan pada tahun 2024—turun drastis dari puluhan ribu dolar—serta penggunaan alat AI untuk pengembangan malware, secara signifikan menurunkan hambatan masuk bagi para penjahat siber. Hal ini menyiratkan bahwa para aktor ancaman kini merancang malware secara spesifik untuk sementara waktu mematuhi ekspektasi keamanan Apple, bukan lagi hanya mencoba melewatinya secara langsung.
Sebagai upaya perlindungan, Apple merekomendasikan pengguna untuk memperbarui perangkat mereka ke perangkat lunak terbaru untuk mendapatkan perbaikan keamanan terkini, melindungi perangkat dengan kode sandi, menggunakan otentikasi dua faktor dan kata sandi yang kuat untuk Akun Apple mereka, menginstal aplikasi dari App Store, menggunakan kata sandi yang kuat dan unik secara daring, serta menghindari mengeklik tautan atau lampiran dari pengirim yang tidak dikenal. Red Canary juga mencatat bahwa pembaruan macOS Sequoia menghapus bypass Gatekeeper yang sering digunakan oleh keluarga stealer, yang secara signifikan mengurangi infeksi setelah September 2024, sehingga memaksa penyerang untuk mencari metode distribusi alternatif.
