# AN1473 — Analytic 1473 ## Descrição Detecta execução anômala de workflows de CI/CD originados de repositórios bifurcados (forks), com metadados de pull requests ou mensagens de commit contendo padrões suspeitos (como payloads codificados), combinados com o uso de gatilhos inseguros de pipeline como `pull_request_target` ou uso excessivo de segredos de CI/CD via API. A telemetria inclui logs de auditoria de plataformas como GitHub Actions, GitLab CI e CircleCI, além de correlação com geração anômala de artefatos ou URLs de destino externas com dados codificados. Esta analítica é crítica para detectar ataques de envenenamento de pipeline CI/CD, nos quais adversários exploram contribuições de forks para executar código malicioso dentro do contexto privilegiado do repositório alvo. **Plataformas:** SaaS --- ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1552-unsecured-credentials|T1552 — Unsecured Credentials]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] --- *Fonte: [MITRE ATT&CK — AN1473](https://attack.mitre.org/detectionstrategies/DET0533#AN1473)*