مخاطر الكشف عن إصدار axios الضار 1.14.1 / 0.30.4 وتاريخ التثبيت العالمي لـ OpenClaw npm، مع ضرورة التحقيق

أخبار ME، 31 مارس (UTC+8)، حتى 31 مارس 2026، تُظهر المعلومات المتاحة علنًا أن axios@1.14.1 و axios@0.30.4 قد تم تأكيدهما كنسخ خبيثة. تم تضمين كلتيهما مع اعتماد إضافي plain-crypto-js@4.2.1، ويمكن لهذا الاعتماد نشر حمولة خبيثة متعددة المنصات عبر سكربت postinstall. تتطلب تأثيرات هذا الحادث على OpenClaw تحديدًا حسب السيناريوهات: 1) سيناريو إنشاء الكود: غير متأثر، ملف القفل v2026.3.28 الذي تم إنشاؤه فعليًا يثبت axios@1.13.5 / 1.13.6، دون أن يطابق النسخ الخبيثة. 2) سيناريو npm install -g openclaw@2026.3.28: توجد مخاطر تعرّض تاريخية السبب هو أن سلسلة الاعتمادات تتضمن: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. خلال نافذة بقاء النسخ الخبيثة متاحة، قد يتم تحليلها إلى axios@1.14.1. 3) نتيجة إعادة التثبيت الحالية: قام npm بالتراجع عن التحليل إلى axios@1.14.0، لكن في البيئات التي تم تثبيتها داخل نافذة الهجوم، يُنصح مع ذلك بمعاملة الحالة كمحالة متأثرة، والتحقق من IoC. بالإضافة إلى ذلك، تشير بطيء الضباب (SlowMist) إلى أنه إذا وُجد مجلد plain-crypto-js، فيجب اعتباره أثر تنفيذ عالي الخطورة حتى لو تم تنظيف package.json داخله. بالنسبة إلى المضيفات التي نفذت npm install أو npm install -g openclaw@2026.3.28 داخل نافذة الهجوم، يُنصح فورًا بتدوير بيانات الاعتماد وإجراء فحص من جانب المضيف. (المصدر: ODAILY)