det0252-user-initiated-malicious-library-installation-via-package-manager-t12040

# DET0252 — User-Initiated Malicious Library Installation via Package Manager (T1204.005) ## Descrição Esta estratégia detecta a instalação de bibliotecas maliciosas via gerenciadores de pacotes (pip, npm, cargo, gem, nuget) induzida por engenharia social ou typosquatting. Adversários públicam pacotes com nomes similares a bibliotecas populares ou comprometem pacotes legítimos (dependency confusion, supply chain attack) para execução de código durante o processo de instalação. Ataques de typosquatting exploram erros de digitação comuns (ex: `reqeusts` ao invés de `requests` para Python, `event-stream` comprometido em npm). Pacotes maliciosos frequentemente incluem código de execução em `setup.py`, `postinstall` scripts ou importações com side effects que executam payloads durante a instalação. A telemetria requer monitoramento de execução de gerenciadores de pacote (`pip`, `npm`, `cargo`) com logging de pacotes instalados, detecção de processos de rede iniciados por scripts de instalação (`setup.py`, `postinstall`), e integração com feeds de pacotes maliciosos conhecidos (PyPI malware feeds, npm advisories). ## Indicadores de Detecção - `pip install`, `npm install` ou `cargo install` seguido de conexão de rede de saída pelo processo de instalação - Script `setup.py` ou `postinstall` gerando processos filhos (`cmd.exe`, `sh`, `powershell`) - Nome de pacote instalado com diferença de 1-2 caracteres de biblioteca popular (typosquatting) - Pacote recém-públicado (< 7 dias de existência) instalado por desenvolvedor sem revisão explícita - Instalação de pacote que modifica arquivos fora do ambiente virtual Python (`~/.bashrc`, `crontab`) - Hash do pacote instalado não correspondendo ao hash públicado no registry oficial ## Técnicas Relacionadas - [[T1204.005-malicious-package-install|T1204.005 — Malicious Package Install]] - [[T1195.001-compromise-software-dependencies|T1195.001 — Compromise Software Dependencies and Development Tools]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] ## Analytics Relacionadas - [[an0698-analytic-0698|AN0698 — Analytic 0698]] - [[an0699-analytic-0699|AN0699 — Analytic 0699]] - [[an0700-analytic-0700|AN0700 — Analytic 0700]] --- *Fonte: [MITRE ATT&CK — DET0252](https://attack.mitre.org/detectionstrategies/DET0252)*