Axios Violato su npm: social engineering nordcoreano infetta la supply chain JavaScript con WAVESHAPER.V2

Un recente attacco alla supply chain npm ha colpito Axios, una delle librerie JavaScript piu usate per le richieste HTTP, dimostrando quanto siano vulnerabili gli ecosistemi open source quando i manutentori diventano bersagli diretti. La compromissione non e avvenuta tramite una falla tecnica nel codice, ma attraverso una campagna di social engineering altamente mirata attribuita al gruppo UNC1069, collegato ad attori nordcoreani.

La dinamica e stata costruita per risultare credibile in ogni dettaglio. Gli aggressori hanno contattato il maintainer fingendosi il fondatore di una azienda reale e nota, clonandone identita e immagine. Per aumentare la fiducia, lo hanno invitato in un workspace Slack autentico ma creato ad hoc, completo di branding coerente e canali con contenuti plausibili, inclusa la condivisione di post LinkedIn. Questo livello di preparazione e tipico delle operazioni moderne di ingegneria sociale, dove la verosimiglianza del contesto e parte integrante dell attacco.

Il passo successivo e stato un meeting su Microsoft Teams. Dopo l accesso alla chiamata, alla vittima e comparso un messaggio di errore fasullo che indicava un componente di sistema non aggiornato. L azione di aggiornamento ha innescato l installazione di un remote access trojan, consentendo agli attaccanti di ottenere accesso al sistema e sottrarre le credenziali dell account npm. Con queste credenziali sono state pubblicate due versioni trojanizzate del pacchetto Axios, 1.14.1 e 0.30.4, contenenti un impianto malevolo identificato come WAVESHAPER.V2.

Questa catena di infezione richiama tecniche gia viste in campagne simili, dove l utente viene spinto a scaricare un falso SDK di Zoom o Teams tramite popup in stile ClickFix. A seconda del sistema operativo, l esecuzione passa da AppleScript su macOS a script PowerShell su Windows. In scenari correlati sono stati osservati payload come backdoor per macOS e varianti per Windows, capaci di distribuire moduli di furto credenziali mirati a browser, password manager e segreti di sviluppo legati a GitHub, GitLab, Bitbucket, npm e altri registri come pip, RubyGems e NuGet.

Dal punto di vista difensivo, l incidente evidenzia la necessita di proteggere il processo di rilascio con misure come reset completo di dispositivi e credenziali, release immutabili, pubblicazione tramite OIDC e hardening delle pipeline GitHub Actions. Con quasi 100 milioni di download settimanali, un attacco alla supply chain su Axios amplifica rapidamente l impatto attraverso dipendenze dirette e transitive, rendendo complessa la valutazione dell esposizione in ambienti JavaScript moderni.