A equipa de inteligência de ameaças do Google (GTIG) revelou um incidente de ataque à cadeia de abastecimento dirigido ao axios. Entre as 00:21 e as 03:20 UTC de 31 de março de 2026, os atacantes implantaram uma dependência maliciosa chamada “plain-crypto-js” nas versões 1.14.1 e 0.30.4 do axios NPM, executando um script de obfuscação setup.js através do postinstall para distribuir o backdoor WAVESHAPER.V2. Este backdoor afeta sistemas Windows, macOS e Linux, suportando recolha de informações, execução de comandos e varredura de ficheiros, comunicando-se através de C2 (sfrclak[.]com / 142 11 206 73). Com base na utilização e infraestrutura sobreposta do WAVESHAPER.V2, a GTIG atribui este ataque a um grupo de origem norte-coreana ativo desde 2018, conhecido como UNC1069. O incidente teve origem na invasão e modificação da conta do mantenedor do axios, que comprometeu a configuração das dependências. As recomendações oficiais incluem evitar versões afetadas, auditar dependências, isolar sistemas comprometidos e rotacionar credenciais.