# AN0699 — Analytic 0699 ## Descrição Detecta execução de `pip.exe`, `npm.cmd` ou instaladores MSI dentro do contexto do usuário, seguida de inicialização do interpretador de script como `python.exe` com processos filho incomuns ou gravações de arquivo em `%APPDATA%`, `%TEMP%` ou `%LOCALAPPDATA%`. A telemetria inclui Sysmon (Events 1, 11), Windows Event Log e logs de linha de comando que correlacionam ferramentas de instalação com comportamento downstream suspeito rastreado via Process Create e File Create. Essa analítica é relevante para detectar compromissos de desenvolvedor Windows via pacotes maliciosos onde o adversário usa o ambiente de desenvolvimento como ponto de entrada para a rede corporativa, aproveitando acesso privilegiado a repositórios e sistemas internos. **Plataformas:** Windows ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0699](https://attack.mitre.org/detectionstrategies/DET0252#AN0699)*