O MRT / YaraScan é uma ferramenta de direitos autorais antivírus fornecida pelo MacOS. A razão para o uso de memória obscena é basicamente porque o OSX não tem um 'antivírus' formal.
Mais simplesmente, a YaraScan é uma parte do 'conjunto de volatilidade' aqui; link
Sei que um vírus e material pirateado ilegalmente são detectados apenas por um conjunto de caminhos de código de 'assinatura' e ambos geralmente dependem de bugs, exploits e patches fracos, então é de se esperar que o antivírus moderno mais strong tenha sido desenvolvido de uma ferramenta de detecção de violação de direitos autorais.
O YaraScan é executado uma vez após a atualização do Mojave e, em seguida, é excluído. Também foi visto persistir em certos sistemas MacOS dentro do MRT. A razão pela qual usa tanta memória é que, a menos que seja programado de outra forma (como em um opt-out), um processo que precisa varrer uma grande quantidade de arquivos para um arquivo de tamanho desconhecido que pode ser criptografado em arquivos pesquisados usará um grande quantidade de memória inativa para salvar todos os arquivos digitalizados descriptografados por um período de tempo limitado, caso sejam necessários novamente. Por quê? Porque RAM vazia é desperdiçada RAM, quero dizer que você ainda tem que dar watts então por que apagar as coisas sobre isso quando algo mais não quer estar lá? Demora 100x mais para recuperá-lo.
Mais importante ainda, se você for Filevault ou APFS, ALL desses dados será criptografado e deverá ser descriptografado para ser lido. Na verdade, muitos aplicativos precisam ser iniciados e verificados quando são carregados, já que muitos arquivos podem ser reunidos para formar uma ameaça no espaço da memória como um único "arquivo concorrente". Os vírus podem ser parcialmente armazenados em um dylib para um aplicativo completamente não relacionado.
A quantidade de tempo é ativamente decidida pelo Grand Central Dispatch no seu Mac e assim que você tentar usar um programa que precise dessa RAM lógica, ele tentará limpá-lo. Note que a memória virtual, neste caso, deve ser grande, já que todo aquele material descriptografado é melhor armazenado lá até que você esteja literalmente sem espaço do que deletado em uma passagem secundária logo após a criação repetidamente.
Esse é o novo comportamento na era dos SSDs para maximizar a vida útil em vez da capacidade de resposta. O comportamento atual do GCD sugere que as lentidões são de uma CPU rápida, criando dados descriptografados mais rapidamente do que podem ser gravados no disco e outras solicitações para a RAM ter que esperar que o SSD / HDD termine.