# AN0023 — Analytic 0023 ## Descrição Detecta em macOS quando ferramentas de desenvolvimento (Homebrew, pip, npm/yarn, builds Xcode) instalam ou atualizam dependências que criam novos binários Mach-O ou scripts sob /usr/local, /opt/homebrew, ~/Library/Application Support ou node_modules/.bin, e na primeira execução geram processos filhos sh/zsh/osascript/curl com novos fluxos de rede de saída, potencialmente sinalizados pelo Gatekeeper/AMFI por componentes não assinados. A telemetria inclui logs do Endpoint Security Framework, eventos de notarização/Gatekeeper e conexões de rede correlacionadas a processos de build. Esse analítico é valioso para equipes de segurança em ambientes macOS com desenvolvedores ativos, onde dependências maliciosas podem comprometer workstations de alto valor. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] --- *Fonte: [MITRE ATT&CK — AN0023](https://attack.mitre.org/detectionstrategies/DET0009#AN0023)*