det0537-behavioral-detection-for-supply-chain-compromise-packageupdate-tamper-in

# DET0537 — Behavioral detection for Supply Chain Compromise (package/updaté tamper → install → first-run) ## Descrição O comprometimento da cadeia de fornecimento via adulteração de pacotes/atualizações ([[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]]) é uma das técnicas de maior impacto e menor detecção inicial, pois o vetor de entrega é um canal legítimo e confiável. O padrão de ataque segue o ciclo: adulteração do pacote/atualização na fonte → distribuição via repositório legítimo → instalação pela vítima → execução maliciosa no primeiro run. Exemplos históricos incluem SolarWinds/SUNBURST (instalador adulterado), XZ Utils backdoor (código malicioso em tarball oficial) e múltiplas campanhas de typosquatting em PyPI/npm. A detecção comportamental foca no momento do "first-run" — quando um pacote recém-instalado executa pela primeira vez, comportamentos anômalos são indicadores fortes. Um pacote de biblioteca JavaScript que inicia conexões de rede, ou um utilitário Python que acessa arquivos fora de seu escopo esperado na primeira execução, são padrões suspeitos. A verificação de integridade (hash) dos pacotes contra registros conhecidos e a assinatura criptográfica dos artefatos são os controles preventivos; a análise comportamental do instalador e do processo pós-instalação são os controles detectivos. Nos ambientes DevOps modernos, o monitoramento de instalações de pacotes via gerenciadores (npm, pip, apt, yum, Homebrew) combinado com sandbox behavior analysis de pacotes antes de entrar no ambiente de produção é a abordagem mais robusta. A correlação entre a instalação de um pacote específico e comportamentos maliciosos subsequentes na mesma sessão ou nos minutos seguintes permite identificação retroativa mesmo quando o hash não corresponde a IoCs conhecidos. ## Indicadores de Detecção - Processo gerado por instalador de pacote (`npm`, `pip`, `apt`, `yum`) realizando conexão de rede para IP externo não-CDN - Script `postinstall` em `package.json` ou `setup.py` executando `curl`, `wget` ou PowerShell com URL - Hash SHA256 de pacote instalado diferente do hash registrado no repositório oficial (verificação de integridade) - Processo filho de gerenciador de pacotes acessando arquivos fora do diretório de instalação esperado - Biblioteca instalada recentemente (< 24h) realizando execução de código na importação/carregamento - Instalação de pacote com nome similar a biblioteca popular mas de publisher desconhecido (typosquatting) ## Técnicas Relacionadas - [[t1195-supply-chain-compromise|T1195 — Supply Chain Compromise]] — técnica principal coberta por esta estratégia - [[t1195-002-compromise-software-supply-chain|T1195.002 — Compromise Software Supply Chain]] — comprometimento de pacotes de software - [[t1072-software-deployment-tools|T1072 — Software Deployment Tools]] — uso de ferramentas de deploy para distribuição maliciosa - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] — download de payload adicional no first-run - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] — execução de scripts em scripts de instalação ## Analytics Relacionadas - [[an1480-analytic-1480|AN1480 — Analytic 1480]] - [[an1481-analytic-1481|AN1481 — Analytic 1481]] - [[an1482-analytic-1482|AN1482 — Analytic 1482]] --- *Fonte: [MITRE ATT&CK — DET0537](https://attack.mitre.org/detectionstrategies/DET0537)*