SlowMist : Attention à la vérification des versions malveillantes d'axios 1.14.1 / 0.30.4 et des risques d'exposition liés à l'historique d'installation globale de npm d'OpenClaw

Nouvelles ME, message du 31 mars (UTC+8). Au 31 mars 2026, d’après les informations publiques, il a été confirmé qu’axios@1.14.1 et axios@0.30.4 sont des versions malveillantes. Les deux ont été infectées avec une dépendance supplémentaire plain-crypto-js@4.2.1 ; cette dépendance peut déployer des charges malveillantes multiplateformes via un script postinstall. L’impact de cet incident sur OpenClaw doit être évalué par scénarios :
1）Scénario de compilation depuis le code : non affecté. le fichier de verrouillage v2026.3.28 cible en réalité axios@1.13.5 / 1.13.6, ne correspondant pas aux versions malveillantes.
2）Scénario npm install -g openclaw@2026.3.28 : risque d’exposition historique. La raison est que la chaîne de dépendances contient : openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Dans la fenêtre temporelle où les versions malveillantes étaient encore en ligne, il est possible qu’elles soient résolues en axios@1.14.1.
3）Résultat d’une réinstallation actuelle : npm a rétrogradé la résolution vers axios@1.14.0, mais dans les environnements où l’installation a été réalisée pendant la fenêtre d’attaque, il est toujours recommandé de traiter selon le scénario affecté et de vérifier les IoC.

En outre, l’avertissement de SlowMist indique que si un répertoire plain-crypto-js est découvert, même si son package.json a été nettoyé, il faut le considérer comme une trace d’exécution à haut risque. Pour les hôtes ayant exécuté npm install ou npm install -g openclaw@2026.3.28 pendant la fenêtre d’attaque, il est recommandé de faire immédiatement une rotation des identifiants et de procéder à des investigations côté hôte. (Source : ODAILY)