# AN0864 — Analytic 0864 ## Descrição Esta analítica detecta quando um app/pkg/atualização notarizada adulterada é instalada via installer, softwareupdated, Homebrew ou atualizador do vendor; novos conteúdos Mach-O ou bundle aparecem em `/Applications`, `/Library`, `/usr/local` ou `/opt/homebrew`; a primeira execução gera sh/zsh/osascript/curl e faz egress para domínios desconhecidos; o AMFI/Gatekeeper pode registrar problemas de assinatura/notarização. A telemetria utilizada inclui ESF, Unified Log e logs do Gatekeeper/AMFI para monitorar instalações e execuções suspeitas. Esta detecção é crítica para identificar ataques à cadeia de suprimentos em macOS, onde pacotes Homebrew ou aplicativos notarizados comprometidos podem contornar verificações de segurança do sistema operacional. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1195-002-compromise-software-supply-chain|T1195.002 — Compromise Software Supply Chain]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] --- *Fonte: [MITRE ATT&CK — AN0864](https://attack.mitre.org/detectionstrategies/DET0309#AN0864)*