Un recente attacco alla supply chain npm ha colpito Axios, una delle librerie JavaScript piu usate per le richieste HTTP, dimostrando quanto siano vulnerabili gli ecosistemi open source quando i manutentori diventano bersagli diretti. La compromissione non e avvenuta tramite una falla tecnica nel codice, ma attraverso una campagna di social engineering altamente mirata attribuita al gruppo UNC1069, collegato ad attori nordcoreani.
La dinamica e stata costruita per risultare credibile in ogni dettaglio. Gli aggressori hanno contattato il maintainer fingendosi il fondatore di una azienda reale e nota, clonandone identita e immagine. Per aumentare la fiducia, lo hanno invitato in un workspace Slack autentico ma creato ad hoc, completo di branding coerente e canali con contenuti plausibili, inclusa la condivisione di post LinkedIn. Questo livello di preparazione e tipico delle operazioni moderne di ingegneria sociale, dove la verosimiglianza del contesto e parte integrante dell attacco.
Il passo successivo e stato un meeting su Microsoft Teams. Dopo l accesso alla chiamata, alla vittima e comparso un messaggio di errore fasullo che indicava un componente di sistema non aggiornato. L azione di aggiornamento ha innescato l installazione di un remote access trojan, consentendo agli attaccanti di ottenere accesso al sistema e sottrarre le credenziali dell account npm. Con queste credenziali sono state pubblicate due versioni trojanizzate del pacchetto Axios, 1.14.1 e 0.30.4, contenenti un impianto malevolo identificato come WAVESHAPER.V2.
Questa catena di infezione richiama tecniche gia viste in campagne simili, dove l utente viene spinto a scaricare un falso SDK di Zoom o Teams tramite popup in stile ClickFix. A seconda del sistema operativo, l esecuzione passa da AppleScript su macOS a script PowerShell su Windows. In scenari correlati sono stati osservati payload come backdoor per macOS e varianti per Windows, capaci di distribuire moduli di furto credenziali mirati a browser, password manager e segreti di sviluppo legati a GitHub, GitLab, Bitbucket, npm e altri registri come pip, RubyGems e NuGet.
Dal punto di vista difensivo, l incidente evidenzia la necessita di proteggere il processo di rilascio con misure come reset completo di dispositivi e credenziali, release immutabili, pubblicazione tramite OIDC e hardening delle pipeline GitHub Actions. Con quasi 100 milioni di download settimanali, un attacco alla supply chain su Axios amplifica rapidamente l impatto attraverso dipendenze dirette e transitive, rendendo complessa la valutazione dell esposizione in ambienti JavaScript moderni.