# AN0021 — Analytic 0021 ## Descrição Detecta manipulação de dependências ou ferramentas de desenvolvimento por adversários, onde gerenciadores de pacotes (npm/yarn, pip, nuget, chocolatey, maven/gradle) ou compiladores escrevem conteúdo sob caminhos de projeto e executam scripts de lifecycle (preinstall/postinstall) que geram shells, PowerShell ou DLLs maliciosas, seguido de egress de rede para registros ou CDNs não aprovados. A telemetria inclui eventos de criação de arquivos em diretórios de projeto (node_modules, .gradle, .nuget), logs de execução de processos filhos de gerenciadores de pacotes e conexões de rede de saída incomuns. Esse analítico é crítico para detectar ataques de cadeia de suprimentos de software e envenenamento de dependências (dependency confusion) em ambientes de desenvolvimento Windows. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0021](https://attack.mitre.org/detectionstrategies/DET0009#AN0021)*