# AN0253 — Analytic 0253 ## Descrição Esta analítica detecta a instalação manual ou via script de módulos similares a extensões em diretórios de configuração de navegadores ou em caminhos de plugins de IDE no Linux, seguida de atividade de rede suspeita. A telemetria inclui eventos de criação de arquivos em caminhos de perfil de usuário (`~/.config/`, `~/.mozilla/`, `~/.vscode/extensions/`) correlacionados com conexões de saída iniciadas pelo processo hospedeiro. A detecção é relevante pois ambientes de desenvolvimento Linux são alvos de supply chain attacks onde extensões maliciosas de VSCode ou navegador exfiltram segredos, tokens e chaves de API. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1176-browser-extensions|T1176 — Browser Extensions]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] --- *Fonte: [MITRE ATT&CK — AN0253](https://attack.mitre.org/detectionstrategies/DET0092#AN0253)*