Google atribuye el ataque a la cadena de suministro de axios a la organización norcoreana UNC1069, involucrando dependencias maliciosas y la implementación de puertas traseras multiplataforma

El Google Threat Intelligence Group (GTIG) revela un incidente de ataque a la cadena de suministro dirigido a axios. Entre las 00:21 y las 03:20 UTC del 31 de marzo de 2026, el atacante insertó dependencias maliciosas en las versiones NPM de axios 1.14.1 y 0.30.4, mediante la dependencia maliciosa “plain-crypto-js”; ejecutó un script de ofuscación setup.js a través de postinstall para desplegar el backdoor WAVESHAPER.V2. El backdoor afecta a sistemas Windows, macOS y Linux, y soporta recolección de información, ejecución de comandos y recorrido de archivos; se comunica mediante C2 (sfrclak[.]com / 142 11 206 73). GTIG atribuye el ataque al grupo con trasfondo norcoreano UNC1069, activo desde al menos 2018, basándose en el solapamiento en el uso de WAVESHAPER.V2 y de la infraestructura. El incidente se originó por la intrusión en la cuenta del mantenedor de axios y la manipulación de la configuración de dependencias. La recomendación oficial es evitar el uso de las versiones afectadas y auditar las dependencias, aislar los sistemas afectados y rotar las credenciales.