# AN0022 — Analytic 0022 ## Descrição Detecta em ambientes Linux quando desenvolvedores ou pipelines CI invocam gerenciadores de pacotes (apt, npm, pip, gem, cargo, go, maven) que escrevem arquivos executáveis ou scripts em PATH ou diretórios de projeto e imediatamente executam hooks de lifecycle (preinstall/postinstall, setup.py) que geram shells ou curl/wget com egress para domínios desconhecidos. A telemetria provém de auditd (syscalls execve, connect), logs de processo de CI/CD e análise de tráfego de rede de saída durante builds. Esse analítico é fundamental para ambientes DevSecOps em Linux, onde ataques de dependency confusion e typosquatting de pacotes podem comprometer toda a pipeline de desenvolvimento. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0022](https://attack.mitre.org/detectionstrategies/DET0009#AN0022)*