# AN0938 — Analytic 0938 ## Descrição Este analytic correlaciona eventos de instalação de pacote com a execução de scripts `postinstall` contendo binários desconhecidos ou uso anômalo de CLI, monitorando a execução de `/usr/sbin/installer` seguida de processos filhos originados do script de pós-instalação. A telemetria inclui Unified Logs do macOS capturando eventos de instalação de pacote, o Endpoint Security Framework monitorando linhagem de processo e registros de criação de arquivo associados à instalação. Em macOS, a injeção de código em scripts de instalação é um vetor prevalente de infecção inicial em campanhas de distribuição de malware via pacotes PKG adulterados, sendo frequentemente explorado em ataques à cadeia de suprimentos de software. **Plataformas:** macOS ## Técnicas Relacionadas - [[t1546-installer-packages|T1546.016 — Installer Packages]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0938](https://attack.mitre.org/detectionstrategies/DET0330#AN0938)*