# AN0939 — Analytic 0939 ## Descrição Este analytic detecta a modificação ou execução de scripts de mantenedor como `postinst` e `preinst` durante operações `dpkg` ou `rpm`, monitorando conteúdo de script que gera processos adicionais ou escreve fora do escopo do pacote. A telemetria inclui logs de auditoria do kernel monitorando execuções de scripts de pacote, inotify para criação de arquivo fora de diretórios esperados e rastreamento de linhagem de processo para identificar filhos inesperados de gerenciadores de pacotes. A manipulação de scripts de instalação em pacotes Linux é uma técnica sofisticada de comprometimento da cadeia de suprimentos que pode afetar milhares de sistemas simultaneamente quando pacotes maliciosos são distribuídos via repositórios comprometidos. **Plataformas:** Linux ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] --- *Fonte: [MITRE ATT&CK — AN0939](https://attack.mitre.org/detectionstrategies/DET0330#AN0939)*