🌐 Contexte

Source : Google Threat Intelligence Group (GTIG) / Mandiant, publiée le 31 mars 2026. L’article documente une attaque de chaîne d’approvisionnement logicielle ciblant le package axios, l’un des packages NPM les plus utilisés au monde, attribuée à un acteur lié à la Corée du Nord.

🎯 Acteur et attribution

GTIG attribue cette activité à UNC1069, un acteur à motivation financière actif depuis 2018 et lié à la Corée du Nord. L’attribution repose sur :

  • L’infrastructure C2 sfrclak[.]com (résolvant vers 142.11.206.73) connectée à un nœud AstrillVPN précédemment utilisé par UNC1069
  • Une infrastructure adjacente hébergée sur le même ASN, historiquement liée aux opérations d’UNC1069
  • WAVESHAPER.V2 est une évolution directe du backdoor WAVESHAPER (macOS/Linux) déjà attribué à UNC1069

🛠️ Mécanisme d’attaque

Les versions malveillantes d’axios (1.14.1 et 0.30.4) intègrent le package malveillant plain-crypto-js (versions 4.2.0 ou 4.2.1) comme vecteur d’infection initial dans la chaîne de dépendances.

Persistance sur Windows :

  • Création d’un fichier batch caché : %PROGRAMDATA%\system.bat
  • Ajout d’une clé de registre MicrosoftUpdate dans HKCU:\Software\Microsoft\Windows\CurrentVersion\Run

🦠 Capacités de WAVESHAPER.V2

WAVESHAPER.V2 est un RAT complet avec les fonctionnalités suivantes :

  • Reconnaissance : extraction de télémétrie système (hostname, username, heure de démarrage, fuseau horaire, version OS, liste des processus)
  • Exécution de commandes : injection PE en mémoire, commandes shell arbitraires, exécution PowerShell, scripts Base64
  • Énumération du système de fichiers : récursion complète avec métadonnées détaillées
  • Communication C2 via JSON (évolution par rapport au protocole binaire brut de WAVESHAPER v1)
  • URL C2 passée dynamiquement en argument de ligne de commande
  • Déploiement de payloads secondaires dans /Library/Caches/com.apple.act.mond

📊 Impact et contexte élargi

L’impact est massif en raison de la popularité d’axios et de ses nombreuses dépendances en aval. Un second acteur, UNC6780 (TeamPCP), a également mené des attaques supply chain récentes en empoisonnant des GitHub Actions et des packages PyPI (Trivy, Checkmarx, LiteLLM) pour déployer le stealer SANDCLOCK et faciliter des opérations d’extorsion. Des centaines de milliers de secrets volés pourraient circuler.

📋 Type d’article

Il s’agit d’une analyse de menace publiée par GTIG/Mandiant, dont le but principal est de documenter techniquement l’attaque, établir l’attribution à UNC1069 et fournir des IOCs et mesures de remédiation à la communauté défensive.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • UNC1069 (state-sponsored)
  • UNC6780 (cybercriminal)

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder (Persistence)
  • T1059.001 — Command and Scripting Interpreter: PowerShell (Execution)
  • T1059.003 — Command and Scripting Interpreter: Windows Command Shell (Execution)
  • T1055.002 — Process Injection: Portable Executable Injection (Defense Evasion)
  • T1083 — File and Directory Discovery (Discovery)
  • T1082 — System Information Discovery (Discovery)
  • T1057 — Process Discovery (Discovery)
  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1564.001 — Hide Artifacts: Hidden Files and Directories (Defense Evasion)

IOC

  • IPv4 : 142.11.206.73
  • Domaines : sfrclak.com
  • Fichiers : system.bat
  • Fichiers : plain-crypto-js
  • Chemins : %PROGRAMDATA%\system.bat
  • Chemins : /Library/Caches/com.apple.act.mond

Malware / Outils

  • WAVESHAPER.V2 (rat)
  • WAVESHAPER (backdoor)
  • SANDCLOCK (stealer)
  • plain-crypto-js (loader)

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/north-korea-threat-actor-targets-axios-npm-package?hl=en