مجموعة استخبارات التهديدات من جوجل (GTIG) كشفت عن حادثة هجوم على سلسلة التوريد استهدفت axios، حيث خلال الفترة من 31 مارس 2026 الساعة 00:21 إلى 03:20 بالتوقيت العالمي، قام المهاجمون بزرع تبعية خبيثة تسمى "plain-crypto-js" في إصدارات axios NPM 1.14.1 و 0.30.4، من خلال تنفيذ سكربت postinstall المشفر setup.js الذي يطلق خلفية WAVESHAPER.V2، ويؤثر على أنظمة Windows و macOS و Linux. تدعم هذه الخلفية جمع المعلومات، وتنفيذ الأوامر، وتصفح الملفات، وتتواصل عبر C2 (sfrclak[.]com / 142 11 206 73). استنادًا إلى استخدام WAVESHAPER.V2 والبنية التحتية، تُنسب هذه الهجمة إلى منظمة ذات خلفية كورية شمالية نشطة منذ عام 2018 تُعرف باسم UNC1069، وحدثت نتيجة لاختراق حسابات صيانة axios وتعديل تكوين التبعية. توصي الجهات الرسمية بعدم استخدام الإصدارات المتأثرة، ومراجعة التبعيات، وعزل الأنظمة المتأثرة، وتغيير الاعتمادات.