مخاطر الكشف عن إصدار axios الضار 1.14.1 / 0.30.4 وتاريخ التثبيت العالمي لـ OpenClaw npm، مع ضرورة التحقيق

ME News رسالة، في 31 مارس (UTC+8)، حتى 31 مارس 2026، تُظهر المعلومات العلنية أن axios@1.14.1 وaxios@0.30.4 قد تم تأكيدهما كإصدارات خبيثة. تم إدخال كلٍ منهما مع تبعيات إضافية plain-crypto-js@4.2.1، ويمكن لهذا التبعية نشر حمولة خبيثة عبر منصات مختلفة من خلال سكربت postinstall. يجب تقييم تأثير هذه الحادثة على OpenClaw وفقًا للسيناريوهات: 1）سيناريو بناء الكود: لا يتأثر؛ ملف القفل v2026.3.28 يثبت عمليًا axios@1.13.5 / 1.13.6، ولم يتمّت مطابقة الإصدار الخبيث. 2）سيناريو npm install -g openclaw@2026.3.28: توجد مخاطر انكشاف تاريخي؛ السبب هو أن سلسلة التبعيات تحتوي على: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. خلال نافذة بقاء الإصدار الخبيث متاحًا عبر الإنترنت، قد يتم حله إلى axios@1.14.1. 3）نتيجة إعادة التثبيت الحالية: قام npm بالرجوع إلى حل axios@1.14.0، لكن في البيئات التي تم فيها التثبيت داخل نافذة الهجوم، يُنصح أيضًا بالتعامل مع الأمر باعتباره ضمن السيناريوهات المتأثرة، والتحقق من IoC. بالإضافة إلى تنبيه SlowMist: إذا تم العثور على دليل plain-crypto-js، حتى لو كان package.json بداخله قد تم تنظيفه، فيجب اعتباره أثرًا عالي الخطورة للتنفيذ. بالنسبة إلى المضيفات التي نفذت npm install أو npm install -g openclaw@2026.3.28 داخل نافذة الهجوم، يُنصح فورًا بتدوير الاعتمادات (credentials) وإجراء فحص على جانب المضيف. (المصدر: ODAILY)