Группа угроз информационной безопасности Google (GTIG) раскрыла случай атаки на цепочку поставок, направленной на axios. В период с 31 марта 2026 года, 00:21 до 03:20 по UTC, злоумышленники внедрили вредоносную зависимость «plain-crypto-js» в версии axios NPM 1.14.1 и 0.30.4, а также через выполнение скрипта setup.js в postinstall запустили заднюю дверь WAVESHAPER.V2. Эта уязвимость затронула системы Windows, macOS и Linux, поддерживая сбор информации, выполнение команд и обход файловой системы. Связь с командным сервером осуществлялась через C2 (sfrclak[.]com / 142 11 206 73). На основании использования WAVESHAPER.V2 и совпадений в инфраструктуре GTIG отнесла этот инцидент к активной организации с корейским происхождением UNC1069, действующей с 2018 года. Источник атаки — взлом аккаунта разработчика axios с последующим изменением конфигурации зависимостей. Официальные рекомендации включают избегание использования уязвимых версий, проведение аудита зависимостей, изоляцию пострадавших систем и смену учетных данных.