مخاطر الكشف عن إصدار axios الضار 1.14.1 / 0.30.4 وتاريخ التثبيت العالمي لـ OpenClaw npm، مع ضرورة التحقيق

أخبار ME: رسالة، 31 مارس (UTC+8)، حتى 31 مارس 2026، تُظهر المعلومات المتاحة علنًا أن axios@1.14.1 و axios@0.30.4 تم تأكيدهما كنسخ خبيثة. تم زرع كلتيهما مع تبعيات إضافية هي plain-crypto-js@4.2.1، ويمكن لهذا الاعتماد نشر حمولة خبيثة عبر الأنظمة المختلفة من خلال سكربت postinstall. يجب تقييم تأثير هذه الحادثة على OpenClaw وفقًا لسيناريوهات مختلفة: 1） سيناريو البناء من المصدر: غير متأثر؛ ملف القفل v2026.3.28 الذي تم إعداده فعليًا يثبت axios@1.13.5 / 1.13.6، ولم يصب النسخ الخبيثة. 2） سيناريو تشغيل npm install -g openclaw@2026.3.28: توجد مخاطر تاريخية للتعرض. السبب هو وجود في سلسلة التبعيات: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. خلال نافذة زمنية كان فيها النسخ الخبيثة ما تزال متاحة عبر الإنترنت، قد يتم تحليلها إلى axios@1.14.1. 3） نتيجة إعادة التثبيت الحالية: قام npm بالتراجع عن التحليل إلى axios@1.14.0، لكن في البيئات التي تم تثبيتها ضمن نافذة الهجوم، يُنصح مع ذلك بمعالجة السيناريو المتأثر وإجراء فحص IoC. كما تُحذّر SlowMist: إذا تم العثور على مجلد plain-crypto-js، حتى لو كانت قد تمت إزالة package.json داخله، فيجب التعامل معه كأثر تنفيذ عالي الخطورة. بالنسبة للأجهزة التي نفذت npm install أو npm install -g openclaw@2026.3.28 ضمن نافذة الهجوم، يُنصح فورًا بتدوير الاعتمادات (credentials) وإجراء فحص على مستوى المضيف. (المصدر: ODAILY)