# AN0700 — Analytic 0700 ## Descrição Detecta execução de Homebrew, pip3, npm ou PKGs baixados manualmente via Terminal ou shell, seguida de criação de agentes de inicialização, execuções de interpretador ou conexões de saída para domínios desconhecidos. A telemetria inclui o Unified Log do macOS, FSEvents e logs de processo que correlacionam comandos do Terminal com criação de plist, lançamento de binários não assinados e processos `python3` ou `node` conectando-se a endpoints remotos. Essa analítica é importante para detectar comprometimento de ambientes de desenvolvimento macOS via typosquatting de pacotes Homebrew/pip/npm, onde malware se disfarça de bibliotecas legítimas para obter persistência em sistemas de desenvolvedores com acesso a infraestrutura crítica. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] --- *Fonte: [MITRE ATT&CK — AN0700](https://attack.mitre.org/detectionstrategies/DET0252#AN0700)*