Google a attribué l'attaque de la chaîne d'approvisionnement axios à l'organisation nord-coréenne UNC1069, impliquant des dépendances malveillantes et la diffusion de portes dérobées multiplateformes

L’équipe Google Threat Intelligence Group (GTIG) a divulgué un incident d’attaque par chaîne d’approvisionnement visant axios. Entre 00:21 et 03:20 UTC le 31 mars 2026, les attaquants ont injecté une dépendance malveillante « plain-crypto-js » dans les versions NPM d’axios 1.14.1 et 0.30.4. Ils l’ont fait via postinstall pour exécuter un script d’obfuscation setup.js, qui a déployé le backdoor WAVESHAPER.V2. Ce dernier cible les systèmes Windows, macOS et Linux. Le backdoor prend en charge la collecte d’informations, l’exécution de commandes et le parcours de fichiers, et communique via C2 (sfrclak[.]com / 142 11 206 73). Le GTIG attribue l’attaque à l’organisation nord-coréenne UNC1069, active depuis 2018, en se fondant sur l’utilisation de WAVESHAPER.V2 et le chevauchement de l’infrastructure. L’incident a pour origine le piratage du compte du mainteneur d’axios et la modification de la configuration des dépendances. Les recommandations officielles consistent à éviter les versions concernées et à auditer les dépendances, à isoler les systèmes affectés et à faire tourner les identifiants (rotations des preuves d’authentification).