# AN0377 — Analytic 0377 ## Descrição Detecta criação de perfil de túnel JetBrains ou VSCode seguida de comúnicações SSH persistentes ou tunnels baseados em IDE para APIs `devtunnel` em sistemas macOS. A telemetria inclui eventos do Endpoint Security Framework para criação de processos de IDE com argumentos de tunnel, monitoramento de conexões de rede persistentes e análise de arquivos de configuração em diretórios de usuário. Essa analítica é relevante porque desenvolvedores macOS são alvos comuns de comprometimento inicial, e o abuso de ferramentas de desenvolvimento como canal de C2 representa um vetor difícil de detectar em ambientes que permitem uso legítimo dessas ferramentas. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1078-valid-accounts|T1078 — Valid Accounts]] --- *Fonte: [MITRE ATT&CK — AN0377](https://attack.mitre.org/detectionstrategies/DET0133#AN0377)*