# AN1550 — Analytic 1550 ## Descrição Este analítico detecta instalação de extensões ou plugins de IDE (VS Code, JetBrains Toolbox/EAP, Eclipse) no macOS via GUI ou CLI, possívelmente via perfis gerenciados, monitorando a cadeia: início de processo com flags install/updaté → mudanças em plist ou pasta de extensões em `~/Library/Application Support/Code` ou `~/Library/Application Support/JetBrains` → conexões de saída para marketplaces ou serviços de tunnel → spawn opcional de helpers (ssh/node). A telemetria é coletada pelo Endpoint Security Framework (ESF) e unified log do macOS que registram eventos de processo, escrita de arquivo e conexões de rede com contexto completo de processo pai-filho. A relevância aumentou com o recurso de tunnel remoto do VS Code, que permite acesso remoto ao endpoint macOS contornando controles de VPN e firewall corporativos. **Plataformas:** macOS --- ## Técnicas Relacionadas - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] - [[t1021-004-ssh|T1021.004 — Remote Services: SSH]] - [[t1059-002-applescript|T1059.002 — AppleScript]] - [[t1090-proxy|T1090 — Proxy]] --- *Fonte: [MITRE ATT&CK — AN1550](https://attack.mitre.org/detectionstrategies/DET0561#AN1550)*