谷歌将axios供应链攻击归因朝鲜组织UNC1069

据 1M AI News 监测，谷歌威胁情报团队（GTIG）和 Mandiant 将昨日 axios 供应链攻击归因于 UNC1069，一个自 2018 年起活跃、以金融动机为主的朝鲜背景黑客组织，历史攻击目标以加密货币和 AI 行业为主。归因依据是此次部署的 WAVESHAPER.V2 后门与 UNC1069 历史使用版本的直接代码传承，以及 C2 基础设施（sfrclak[.]com / 142.11.206.73）与其过往活动记录的重叠。

感染影响已在野确认。Huntress 检测到恶意包上线 89 秒后出现首次感染，确认至少 135 个客户系统在约 3 小时暴露期内遭入侵；Wiz 遥测显示安装了受影响版本的环境中约 3% 出现 RAT 执行记录。

调查同时披露了攻击为何能绕过 OIDC 和 2FA：axios 项目已将发布流程迁移至 OIDC Trusted Publishing，但发布配置中同时保留了旧式长期 npm token；npm 在两者并存时默认优先使用旧 token，攻击者只需窃取这个 legacy token 即可绕过所有现代安全措施。axios 主维护者事后发文：「我对几乎所有账号都启用了 2FA/MFA。」这一凭证遗留问题在过去 7 个月内已连续引发三次主要 npm 供应链攻击。