31 Mart 2026 00:21–03:20 UTC arasında, haftada 100 milyon+ kez indirilen Axios npm paketinin resmi maintainer hesabı (jasonsaayman) ele geçirildi. Saldırganlar axios@1.14.1 ve axios@0.30.4 sürümlerine gizli bir bağımlılık (plain-crypto-js@4.2.1) enjekte etti. Bu bağımlılık postinstall hook'u üzerinden hiçbir kullanıcı etkileşimi gerektirmeden WAVESHAPER.V2 RAT'ı otomatik olarak çalıştırdı.
Teknik detaylar: Saldırganlar atlatma için iki katmanlı obfuscation kullandı: ters Base64 + XOR (anahtar: OrDeR_7077). Anti-forensic olarak setup.js kendini silerek package.json'ı temiz versiyonla değiştirdi. RAT, Windows (PowerShell), macOS (C++) ve Linux (Python) için platform-spesifik payload indirdi. C2: sfrclak[.]com, npm trafiğini taklit eden packages.npm.org/product1 formatı.
Google GTIG bunu UNC1069'a, Microsoft ise Sapphire Sleet'e bağladı — her ikisi de DPRK bağlantılı, finans/kripto odaklı tehdit aktörleri. SANS analizine göre bu saldırı TeamPCP'nin Trivy, KICS, LiteLLM ve Telnyx'i zehirlediği kampanyanın devamı olabilir.
▸ ÖNERİLEN AKSİYONLAR
→Anında: package-lock.json veya yarn.lock'ta axios@1.14.1 veya axios@0.30.4 aratın
→Etkilenen versiyona downgrade edin: npm install axios@1.14.0 (v1.x) veya axios@0.30.3 (v0.x)
→node_modules/plain-crypto-js klasörünü silin, tüm node_modules'u temizleyip yeniden yükleyin
→31 Mart UTC 00:21–03:20 penceresinde CI/CD build loglarını inceleyin — etkilenen her sistemin credential'larını ihlal edilmiş kabul edin
→Tüm repository secret'larını, GitHub Actions token'larını ve API key'lerini rotate edin
→npm'de ignore-scripts=true varsayılanını değerlendirin veya Bun/pnpm'e geçiş planlayın