Google приписує атаку на ланцюг постачання axios організації Північної Кореї UNC1069, яка має відношення до шкідливих залежностей та розгортання міжплатформних бекдорів

Група з питань загроз Google (GTIG) розкрила випадок атаки ланцюга постачання, націлений на axios. У період з 31 березня 2026 року 00:21 до 03:20 UTC зловмисники вбудували шкідливі залежності “plain-crypto-js” у версії axios NPM 1.14.1 та 0.30.4, а через postinstall виконали обфускований скрипт setup.js, щоб розгорнути бекстор WAVESHAPER.V2. Бекдор вплинув на системи Windows, macOS і Linux. Він підтримує збирання інформації, виконання команд і перегляд файлової структури (directory traversal), а також здійснює зв’язок через C2 (sfrclak[.]com / 142 11 206 73); GTIG на основі використання WAVESHAPER.V2 та накладання інфраструктури пов’язує цю атаку з фоновою організацією Північної Кореї UNC1069, активною щонайменше з 2018 року. Подія сталася через компрометацію облікового запису підтримувача axios та підміну конфігурації залежностей. Офіційні рекомендації: уникати використання уражених версій і виконати аудит залежностей, ізолювати уражені системи та здійснити ротацію облікових даних.