Google Grupo de Inteligencia de Amenazas (GTIG) revela un incidente de ataque a la cadena de suministro dirigido a axios. Entre las 00:21 y las 03:20 UTC del 31 de marzo de 2026, los atacantes insertaron una dependencia maliciosa llamada “plain-crypto-js” en las versiones 1.14.1 y 0.30.4 de axios en NPM, ejecutando un script de postinstall ofuscado llamado setup.js para desplegar la puerta trasera WAVESHAPER.V2. Este malware afecta sistemas Windows, macOS y Linux, y soporta recopilación de información, ejecución de comandos y recorrido de archivos, comunicándose a través de C2 (sfrclak[.]com / 142 11 206 73). GTIG atribuye este ataque a la organización con fondo norcoreano UNC1069, activa desde 2018, basándose en la utilización y la infraestructura superpuesta con WAVESHAPER.V2. El incidente se originó por la intrusión y manipulación de la cuenta del mantenedor de axios para modificar la configuración de dependencias. La recomendación oficial es evitar usar las versiones afectadas 1.14.1 y 0.30.4, auditar las dependencias, aislar los sistemas afectados y rotar las credenciales postinstall.