مخاطر الكشف عن إصدار axios الضار 1.14.1 / 0.30.4 وتاريخ التثبيت العالمي لـ OpenClaw npm، مع ضرورة التحقيق

أخبار ME، في 31 مارس (UTC+8)، حتى 31 مارس 2026، تُظهر المعلومات المتاحة علنًا أن axios@1.14.1 وaxios@0.30.4 قد تم تأكيدهما كإصدارات خبيثة. تم تضمين كليهما مع تبعية إضافية plain-crypto-js@4.2.1، ويمكن لهذه التبعية نشر حمولة خبيثة عبر منصات مختلفة من خلال برنامج postinstall النصي. يجب تقييم تأثير هذه الحادثة على OpenClaw حسب السيناريوهات: 1）سيناريو بناء المصدر: لا يتأثر، حيث أن ملف القفل v2026.3.28 يثبت فعليًا axios@1.13.5 / 1.13.6، ولم يتم رصد أي تطابق مع الإصدارات الخبيثة. 2）سيناريو npm install -g openclaw@2026.3.28: توجد مخاطر تعرّض تاريخي السبب لأن سلسلة التبعيات تحتوي على: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. ضمن نافذة الزمن التي كانت فيها الإصدارات الخبيثة لا تزال متاحة على الإنترنت، قد يتم تحليلها إلى axios@1.14.1. 3）نتيجة إعادة التثبيت الحالية: قام npm بالرجوع إلى تحليل axios@1.14.0، لكن في البيئات التي تم فيها التثبيت خلال نافذة الهجوم، لا يزال يُنصح بالتعامل وفق سيناريوهات التأثر، والتحقق من IoC. بالإضافة إلى ذلك، يشير SlowMist إلى أنه إذا وُجد دليل plain-crypto-js، حتى إذا كانت package.json داخله قد تم تنظيفها، فيجب اعتباره أثر تنفيذ عالي الخطورة. بالنسبة إلى المضيفات التي نفّذت npm install أو npm install -g openclaw@2026.3.28 خلال نافذة الهجوم، يُنصح فورًا بتدوير الاعتمادات (credentials) والبدء بفحص من جانب المضيف.（المصدر: ODAILY）