Гугл-Група з кіберрозвідки (GTIG) розкрила випадок атаки на ланцюг поставок, спрямованої проти axios. 31 березня 2026 року з 00:21 до 03:20 UTC зловмисники вставили шкідливу залежність "plain-crypto-js" у версії 1.14.1 та 0.30.4 npm-пакету axios, виконуючи обфускований скрипт setup.js під час postinstall для розповсюдження бекдору WAVESHAPER.V2. Ця атака вплинула на системи Windows, macOS та Linux. Бекдор підтримує збір інформації, виконання команд і обходження файлів, а також здійснює зв’язок через командно-керувальну (C2) сервер (sfrclak[.]com / 142 11 206 73). GTIG на основі використання WAVESHAPER.V2 та співпадінь у інфраструктурі віднесла цю атаку до активної північнокорейської організації UNC1069, яка діє з 2018 року. Інцидент стався через злом облікового запису підтримки axios і зміну конфігурації залежностей. Офіційна рекомендація — уникати використання уразливих версій, провести аудит залежностей, ізолювати уражені системи та змінити паролі.