Desde hace unas pocas versiones (supongo que eran 10.10 o 10.9) MacOS tiene este /usr/libexec/nsurlsessiond binario que accede a la red en nombre de otros procesos.
Creo que esto tiene que ver con Apple tratando de ayudar y controlar la conectividad de la red para las aplicaciones que se distribuyen a través de la tienda de aplicaciones.
Pero sea cual sea la razón, parece que no hay manera de saber qué proceso está usando /usr/libexec/nsurlsessiond y qué están haciendo.
Incluso utilizando herramientas como LittleSnitch, solo puedes ver a qué objetivo intentan acceder (en mi caso, generalmente es 'CloudFront' o 'S3').
Mi pregunta es: hay una manera (aparte de ejecutar wireshark constantemente para capturar un evento que ocurre una vez al día en algún momento al azar), para ver quién llama /usr/libexec/nsurlsessiond y qué son ¿obra?