det0009-supply-chain-tamper-in-dependenciesdev-tools-managerwriteinstallfirst-ru

# DET0009 — Supply-chain tamper in dependencies/dev-tools (manager→write/install→first-run→egress) ## Descrição Esta estratégia detecta adulteração de dependências de software por meio da cadeia de suprimentos — um dos vetores de maior impacto e menor detecção em ambientes de desenvolvimento. O padrão de ataque segue a sequência: gerenciador de pacotes (npm, pip, Maven) baixa e instala pacote malicioso → pacote executa script de instalação ou pós-instalação → na primeira execução, o código malicioso realiza egresso de dados ou executa payload adicional. Ataques de dependency confusion, typosquatting de pacotes e comprometimento direto de repositórios legítimos são os três mecanismos principais. Ambientes de CI/CD são alvos prioritários por terem acesso a segredos, infraestrutura e código-fonte simultaneamente. A detecção abrange monitoramento de execução de scripts de instalação de pacotes, comportamento de rede durante `npm install` / `pip install`, e anomalias em checksums ou hashes de dependências. Ferramentas como Software Composition Analysis (SCA) e lock files auditados são controles preventivos complementares. ## Indicadores de Detecção - Script `postinstall`, `preinstall` ou equivalente realizando conexão de rede durante instalação de pacote - Pacote instalado com nome muito similar a biblioteca popular (typosquatting: `lodash` vs `1odash`) - Hash ou checksum de pacote diferente do registrado no lock file ou no registro oficial - Processo filho de gerenciador de pacotes realizando chamadas DNS ou HTTP para domínio externo - Novo pacote adicionado ao `package.json` sem correspondência em PR ou commit de dependência ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] ## Analytics Relacionadas - [[an0021-analytic-0021|AN0021 — Analytic 0021]] - [[an0022-analytic-0022|AN0022 — Analytic 0022]] - [[an0023-analytic-0023|AN0023 — Analytic 0023]] --- *Fonte: [MITRE ATT&CK — DET0009](https://attack.mitre.org/detectionstrategies/DET0009)*