# AN0376 — Analytic 0376 ## Descrição Detecta criação de arquivo de configuração de túnel VSCode combinada com sessão remota interativa via CLI `code` ou SSH com JetBrains Gateway em sistemas Linux. A telemetria inclui monitoramento de criação de arquivos de configuração `~/.vscode/`, eventos de execução de `code tunnel` e conexões de rede de saída persistentes para infraestrutura de tunnel da Microsoft ou JetBrains. Essa analítica é importante em servidores Linux de desenvolvimento e CI/CD onde ferramentas de IDE são legítimas, mas seu uso como canal de acesso remoto persistente indica possível comprometimento por adversários que buscam presença de longa duração. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] --- *Fonte: [MITRE ATT&CK — AN0376](https://attack.mitre.org/detectionstrategies/DET0133#AN0376)*