C'era WeaponX nel 2004, c'è anche una guida qui su come sviluppane uno te stesso Poiché OSX è una combinazione di Mach e BSD, sono stati sviluppati rootkit appositamente sviluppati per indirizzare il lato Mach o Unix o entrambi.
Uso Rkhunter sulle mie macchine Unix, esiste anche una versione per OSX, quindi ti suggerisco di dare un'occhiata a questo.
Il problema con un rootkit è che ci sono molti posti in cui può nascondersi, inoltre sono spesso fatti per essere molto difficili da rilevare. Possono fornire false informazioni di processo.
Non ne ho mai scritto uno anch'io, ma rkhunter è open-source quindi ti suggerisco di iniziare da lì.
Inoltre, se non sto sbagliando (ma non sono sicuro), crea gli hash MD5 dei tuoi binari e moduli del kernel e poi controlla questo ogni tanto. Ti notifica cosa è cambiato. Potrebbe essere che hai fatto un aggiornamento. Altrimenti, potresti voler guardare perché quel binario è cambiato.