# AN0863 — Analytic 0863 ## Descrição Esta analítica detecta quando um pacote ou atualização comprometido (deb/rpm/tarball/AppImage/atualizador do vendor) é instalado, gravando ou sobrescrevendo arquivos em `/usr/local/bin`, `/usr/bin`, `/opt` ou `~/.local`; a primeira execução aciona shells/curl/wget inesperados e conexões a hosts não aprovados. A telemetria utilizada inclui auditd e logs de gestão de pacotes (dpkg/rpm) para correlacionar instalação de pacotes com escritas de arquivo, processos filhos na primeira execução e egress de rede. Esta detecção é relevante para identificar comprometimento de cadeia de suprimentos em ambientes Linux corporativos, onde repositórios de pacotes internos ou dependências de terceiros podem ser adulterados para entregar malware para toda a organização. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1195-002-compromise-software-supply-chain|T1195.002 — Compromise Software Supply Chain]] - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] --- *Fonte: [MITRE ATT&CK — AN0863](https://attack.mitre.org/detectionstrategies/DET0309#AN0863)*