SlowMist: Atención a la detección de las versiones maliciosas de axios 1.14.1 / 0.30.4 y al riesgo de exposición en el historial de instalaciones globales de npm de OpenClaw

Noticias de ME: mensaje, 31 de marzo (UTC+8). A 31 de marzo de 2026, la información pública indica que axios@1.14.1 y axios@0.30.4 ya han sido confirmadas como versiones maliciosas. Ambas han sido inyectadas con una dependencia adicional, plain-crypto-js@4.2.1; esta dependencia puede desplegar cargas útiles maliciosas multiplataforma mediante un script postinstall. El impacto de este incidente en OpenClaw debe evaluarse por escenarios: 1) Escenario de compilación desde código: no afectado; el archivo de bloqueo de la v2026.3.28 bloquea realmente axios@1.13.5 / 1.13.6, sin coincidir con las versiones maliciosas. 2) Escenario npm install -g openclaw@2026.3.28: existe riesgo de exposición histórica. Motivo: en la cadena de dependencias existe: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Dentro de la ventana de tiempo en la que aún estaban en línea las versiones maliciosas, es posible que se resuelva en axios@1.14.1. 3) Resultado actual de reinstalación: npm ha revertido la resolución a axios@1.14.0, pero en los entornos que instalaron dentro de la ventana de ataque, se recomienda seguir el tratamiento del escenario afectado y revisar IoC. Además, SlowMist advierte que, si se encuentra el directorio plain-crypto-js, incluso si en su interior se ha limpiado el package.json, debe considerarse una señal de ejecución de alto riesgo. En los hosts en los que se haya ejecutado npm install o npm install -g openclaw@2026.3.28 dentro de la ventana de ataque, se recomienda rotar las credenciales inmediatamente y realizar una inspección en el lado del host. (Fuente: ODAILY)