Google Threat Intelligence Group (GTIG) mengungkapkan sebuah insiden serangan rantai pasokan terhadap axios. Pada periode 31 Maret 2026 pukul 00:21 hingga 03:20 UTC, penyerang menyisipkan dependensi berbahaya bernama "plain-crypto-js" ke dalam versi axios NPM 1.14.1 dan 0.30.4, melalui skrip postinstall yang menjalankan setup.js yang mengaburkan kode untuk menyebarkan backdoor WAVESHAPER.V2. Backdoor ini mempengaruhi sistem Windows, macOS, dan Linux, dan mendukung pengumpulan informasi, eksekusi perintah, serta penelusuran file. Komunikasi dilakukan melalui C2 (sfrclak[.]com / 142 11 206 73). GTIG mengaitkan serangan ini dengan organisasi berbasis Korea Utara yang aktif sejak 2018, UNC1069, berdasarkan penggunaan WAVESHAPER.V2 dan infrastruktur yang tumpang tindih. Insiden ini bermula dari akun pemelihara axios yang diretas dan konfigurasi dependensi yang diubah. Otoritas menyarankan untuk menghindari penggunaan versi yang terpengaruh, melakukan audit dependensi, mengisolasi sistem yang terdampak, dan mengganti kredensial.