# AN0698 — Analytic 0698 ## Descrição Detecta instalação de bibliotecas Python (`pip`) ou Node.js (`npm`) por usuários não-root, seguida de conexões de rede inesperadas, acesso a credenciais ou modificações em arquivos de inicialização, com novos arquivos `.py`, `.sh` ou `.js` sendo criados em diretórios ocultos ou o interpretador sendo executado durante boot/login. A telemetria inclui auditd (monitoramento de execução de `pip`/`npm`), logs de rede e FSEvents que correlacionam a instalação de pacote com a subsequente cadeia de comportamentos maliciosos como beaconing C2 ou persistência via cron. Essa analítica é importante para detectar ataques de supply chain via pacotes maliciosos (typosquatting npm/PyPI) que são frequentemente usados para comprometer ambientes de desenvolvimento e CI/CD. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0698](https://attack.mitre.org/detectionstrategies/DET0252#AN0698)*