O Google atribui o ataque à cadeia de abastecimento do axios à organização norte-coreana UNC1069, envolvendo dependências maliciosas e a implantação de backdoors multiplataforma.

A Google Threat Intelligence Group (GTIG) divulgou um incidente de ataque à cadeia de fornecimento contra o axios. Entre 31 de março de 2026, 00:21 e 03:20 UTC, os atacantes inseriram dependências maliciosas na versão 1.14.1 e na 0.30.4 do NPM do axios: “plain-crypto-js”. Através de postinstall, executaram um script de ofuscação, setup.js, para implementar a backdoor WAVESHAPER.V2, que afeta sistemas Windows, macOS e Linux. A backdoor suporta recolha de informações, execução de comandos e travessia de ficheiros, comunicando-se via C2 (sfrclak[.]com / 142 11 206 73). A GTIG atribuiu este ataque à organização com ligação à Coreia do Norte UNC1069, ativa desde 2018, com base na sobreposição do uso da WAVESHAPER.V2 e da infraestrutura. O incidente teve origem na invasão da conta do mantenedor do axios e na adulteração da configuração das dependências. A recomendação oficial é evitar a utilização das versões afetadas e fazer auditoria das dependências, isolar os sistemas afetados e proceder à rotação das credenciais.