SlowMist: Atención a la detección de las versiones maliciosas de axios 1.14.1 / 0.30.4 y al riesgo de exposición en el historial de instalaciones globales de npm de OpenClaw

ME Noticias, mensaje del 31 de marzo (UTC+8), hasta el 31 de marzo de 2026, la información pública indica que axios@1.14.1 y axios@0.30.4 ya han sido confirmadas como versiones maliciosas. Ambas han sido infectadas con dependencias adicionales plain-crypto-js@4.2.1; esta dependencia puede desplegar cargas útiles maliciosas multiplataforma mediante un script postinstall. El impacto de este incidente en OpenClaw debe juzgarse por escenarios: 1) Escenario de compilación desde el código: no se ve afectado; el archivo de bloqueo real de v2026.3.28 bloquea axios@1.13.5 / 1.13.6, y no coincide con las versiones maliciosas. 2) Escenario de npm install -g openclaw@2026.3.28: existe riesgo de exposición histórica. La razón es que en la cadena de dependencias existe: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. En la ventana temporal en la que las versiones maliciosas aún estaban disponibles en línea, puede que se resuelva axios@1.14.1. 3) Resultado de la reinstalación actual: npm ha revertido el análisis a axios@1.14.0, pero en los entornos donde se instaló durante la ventana de ataque, aún se recomienda tratarlos como escenarios afectados y revisar IoC. Además, SlowMist advierte que si se encuentra el directorio plain-crypto-js, incluso aunque se haya limpiado el package.json dentro, debe considerarse una evidencia de ejecución de alto riesgo. En los hosts que hayan ejecutado npm install o npm install -g openclaw@2026.3.28 durante la ventana de ataque, se recomienda rotar credenciales de inmediato y realizar una investigación en el lado del host. (Fuente: ODAILY)