Googleの脅威インテリジェンスグループ(GTIG)が、axiosに対するサプライチェーン攻撃の事案を開示した。2026年3月31日00:21から03:20 UTCの期間に、攻撃者はaxiosのNPMバージョン1.14.1および0.30.4に、悪意のある依存関係「plain-crypto-js」を仕込み、postinstallを通じて難読化スクリプトsetup.jsを実行し、WAVESHAPER.V2のバックドアを投入した。Windows、macOS、Linuxの各システムに影響があり、このバックドアは情報収集、コマンド実行、ファイルの巡回(走査)をサポートし、C2(sfrclak[.]com / 142 11 206 73)を通じて通信する。GTIGは、WAVESHAPER.V2の使用およびインフラの重複に基づき、この攻撃を、2018年以来活動している北朝鮮の背景を持つ組織UNC1069に帰属した。事件はaxiosのメンテナアカウントが侵害され、依存関係の設定が改ざんされたことに起因し、公式には、影響を受けたバージョンの使用を避け、依存関係を監査し、影響を受けたシステムを隔離し、認証情報をローテーションすることが推奨されている。
Googleは、axiosのサプライチェーン攻撃を北朝鮮の組織UNC1069に帰属させ、悪意のある依存関係とクロスプラットフォームのバックドアの投入に関与していると指摘しています。
Googleの脅威インテリジェンスグループ(GTIG)が、axiosに対するサプライチェーン攻撃の事案を開示した。2026年3月31日00:21から03:20 UTCの期間に、攻撃者はaxiosのNPMバージョン1.14.1および0.30.4に、悪意のある依存関係「plain-crypto-js」を仕込み、postinstallを通じて難読化スクリプトsetup.jsを実行し、WAVESHAPER.V2のバックドアを投入した。Windows、macOS、Linuxの各システムに影響があり、このバックドアは情報収集、コマンド実行、ファイルの巡回(走査)をサポートし、C2(sfrclak[.]com / 142 11 206 73)を通じて通信する。GTIGは、WAVESHAPER.V2の使用およびインフラの重複に基づき、この攻撃を、2018年以来活動している北朝鮮の背景を持つ組織UNC1069に帰属した。事件はaxiosのメンテナアカウントが侵害され、依存関係の設定が改ざんされたことに起因し、公式には、影響を受けたバージョンの使用を避け、依存関係を監査し、影響を受けたシステムを隔離し、認証情報をローテーションすることが推奨されている。