Google 威胁情报组(GTIG)披露一起针对 axios 的供应链攻击事件,2026 年 3 月 31 日 00:21 至 03:20 UTC 期间,攻击者在 axios NPM 版本 1.14.1 及 0.30.4 中植入恶意依赖 “plain-crypto-js”,通过 postinstall 执行混淆脚本 setup.js 投放 WAVESHAPER.V2 后门,影响 Windows、macOS 及 Linux 系统,该后门支持信息收集、命令执行及文件遍历,并通过 C2(sfrclak[.]com / 142 11 206 73)进行通信;GTIG 基于 WAVESHAPER.V2 使用及基础设施重叠将该攻击归因于自 2018 年以来活跃的朝鲜背景组织 UNC1069,事件源于 axios 维护者账户被入侵并篡改依赖配置,官方建议避免使用受影响版本并审计依赖、隔离受影响系统及轮换凭证。
Google 将 axios 供应链攻击归因于朝鲜组织 UNC1069 涉及恶意依赖与跨平台后门投放
Google 威胁情报组(GTIG)披露一起针对 axios 的供应链攻击事件,2026 年 3 月 31 日 00:21 至 03:20 UTC 期间,攻击者在 axios NPM 版本 1.14.1 及 0.30.4 中植入恶意依赖 “plain-crypto-js”,通过 postinstall 执行混淆脚本 setup.js 投放 WAVESHAPER.V2 后门,影响 Windows、macOS 及 Linux 系统,该后门支持信息收集、命令执行及文件遍历,并通过 C2(sfrclak[.]com / 142 11 206 73)进行通信;GTIG 基于 WAVESHAPER.V2 使用及基础设施重叠将该攻击归因于自 2018 年以来活跃的朝鲜背景组织 UNC1069,事件源于 axios 维护者账户被入侵并篡改依赖配置,官方建议避免使用受影响版本并审计依赖、隔离受影响系统及轮换凭证。