# AN1548 — Analytic 1548 ## Descrição Este analítico detecta instalação ou side-loading de extensões de IDE (VS Code, IntelliJ/JetBrains, Eclipse) ou habilitação de tunneling em ambientes Windows, monitorando a cadeia: início do binário IDE em endpoint não-developer com flags de instalação → arquivos de extensão em perfil de usuário → conexões de saída para marketplaces ou serviços de tunnel remoto → execução de ferramentas auxiliares (ssh, node, powershell) sob o contexto da IDE. A telemetria combina eventos de criação de processo do EDR, eventos de criação de arquivo em diretórios de perfil, e logs de firewall/proxy que capturam conexões para endpoints de marketplace e tunnel. A relevância é alta pois extensões maliciosas de IDE e o recurso de tunnel do VS Code têm sido abusados por adversários para estabelecer C2 persistente em ambientes corporativos contornando controles de proxy. **Plataformas:** Windows --- ## Técnicas Relacionadas - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1059-001-powershell|T1059.001 — PowerShell]] - [[t1021-004-ssh|T1021.004 — Remote Services: SSH]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1548](https://attack.mitre.org/detectionstrategies/DET0561#AN1548)*