# AN1549 — Analytic 1549 ## Descrição Este analítico detecta instalação ou abuso de extensões de IDE via CLI ou escrita direta em diretórios de perfil no Linux, seguida de comunicação com marketplaces ou serviços de tunnel remoto, monitorando a cadeia: auditd execve de código/idea/eclipse com flags de instalação → writes em `~/.vscode/extensions` ou `~/.config/JetBrains` → fluxos de saída para domínios de marketplace ou endpoints SSH/WebSocket de tunnel → processos ssh/node gerados pela IDE. A telemetria provém de auditd (eventos `EXECVE`, `OPEN`, `CONNECT`) e logs de fluxo de rede que capturam conexões para endpoints de serviços de desenvolvimento conhecidos em contextos suspeitos. A detecção é relevante para servidores Linux de desenvolvimento e CI/CD onde IDEs remotas podem ser abusadas para estabelecer acesso persistente backdoor via túneis criptografados. **Plataformas:** Linux --- ## Técnicas Relacionadas - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1021-004-ssh|T1021.004 — Remote Services: SSH]] - [[t1059-004-unix-shell|T1059.004 — Unix Shell]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1549](https://attack.mitre.org/detectionstrategies/DET0561#AN1549)*