Google отнесла атаку на цепочку поставок axios к северокорейской организации UNC1069, которая занимается вредоносными зависимостями и развертыванием межплатформенных бэкдоров.

Группа Google по угрозам в области информации (GTIG) раскрыла инцидент атаки цепочки поставок, нацеленной на axios: в период с 2026-03-31 00:21 до 03:20 UTC злоумышленники внедрили в версии axios NPM 1.14.1 и 0.30.4 вредоносную зависимость «plain-crypto-js». Посредством postinstall они выполняли обфускационный скрипт setup.js для развертывания бэкдора WAVESHAPER.V2, что затронуло системы Windows, macOS и Linux. Этот бэкдор поддерживает сбор информации, выполнение команд и обход файлов, а связь осуществляет через C2 (sfrclak[.]com / 142 11 206 73); GTIG, основываясь на использовании WAVESHAPER.V2 и совпадении инфраструктуры, приписывает эту атаку организации с корейским контекстом UNC1069, активной с 2018 года. Инцидент начался с компрометации учетной записи поддерживающего axios и подмены конфигурации зависимостей. Официально рекомендовано избегать использования затронутых версий, провести аудит зависимостей, изолировать затронутые системы и осуществить ротацию учетных данных.