SlowMist: Atención a la detección de las versiones maliciosas de axios 1.14.1 / 0.30.4 y al riesgo de exposición en el historial de instalaciones globales de npm de OpenClaw

Noticias de ME: el 31 de marzo (UTC+8), hasta el 31 de marzo de 2026, la información pública muestra que la versión maliciosa de axios@1.14.1 y axios@0.30.4 ya ha sido confirmada. Ambas fueron infiltradas con dependencias adicionales plain-crypto-js@4.2.1; esta dependencia puede entregar cargas maliciosas multiplataforma mediante un script postinstall. El impacto de este incidente en OpenClaw debe evaluarse por escenarios:

1）Escenario de construcción a partir del código fuente: no se ve afectado. El archivo de bloqueo en v2026.3.28 realmente bloquea axios@1.13.5 / 1.13.6, sin incluir la versión maliciosa.

2）Escenario: npm install -g openclaw@2026.3.28: existe un riesgo de exposición histórica. La razón es que la cadena de dependencias contiene: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. En la ventana de tiempo en la que las versiones maliciosas aún estaban en línea, podría resolverse hacia axios@1.14.1.

3）Resultado actual de la reinstalación: npm ha revertido la resolución a axios@1.14.0, pero en los entornos que instalaron dentro de la ventana de ataque, aún se recomienda tratarlos como escenarios afectados y realizar la verificación de IoC.

Además, SlowMist advierte que si se encuentra el directorio plain-crypto-js, incluso si en su interior se ha limpiado el package.json, debe considerarse como una huella de ejecución de alto riesgo. Para los hosts que ejecutaron npm install o npm install -g openclaw@2026.3.28 dentro de la ventana de ataque, se recomienda rotar las credenciales de inmediato y realizar una investigación en el lado del host. (Fuente: ODAILY)