جوجل تنسب هجوم سلسلة إمداد axios إلى منظمة كوريا الشمالية UNC1069 التي تتعلق باعتمادات خبيثة وإدخال بوابات خلفية عبر الأنظمة الأساسية

كشفت مجموعة معلومات التهديدات لدى Google (GTIG) عن حادثة هجوم سلسلة توريد تستهدف axios. خلال الفترة من 2026-03-31 00:21 إلى 03:20 بالتوقيت العالمي المنسق (UTC)، قام المهاجمون بإدخال اعتماد خبيث باسم “plain-crypto-js” داخل إصدارات axios NPM 1.14.1 و0.30.4، وذلك عبر postinstall لتنفيذ برنامج تشفير/تمويه (obfuscation) النصي setup.js لطرح backdoor WAVESHAPER.V2. أثّر ذلك على أنظمة Windows وmacOS وLinux. يدعم هذا الباب الخلفي جمع المعلومات وتنفيذ الأوامر واجتياز/تصفح الملفات، ويتواصل عبر C2 (sfrclak[.]com / 142 11 206 73)؛ وقد عزت GTIG هذا الهجوم إلى منظمة ذات خلفية كورية شمالية نشطة منذ عام 2018 والمعروفة باسم UNC1069، وذلك استنادًا إلى استخدام WAVESHAPER.V2 وتداخل البنية التحتية. وبدأت الحادثة بعد اختراق حسابات القائمين على صيانة axios وتلاعبهم بإعدادات الاعتماد (dependencies). ويُنصح رسميًا بتجنب استخدام الإصدارات المتأثرة وإجراء تدقيق للاعتماديات، وعزل الأنظمة المتأثرة، واستبدال/تدوير بيانات الاعتماد (credentials).