SlowMist : Attention à la vérification des versions malveillantes d'axios 1.14.1 / 0.30.4 et des risques d'exposition liés à l'historique d'installation globale de npm d'OpenClaw

Nouvelles ME, message du 31 mars (UTC+8). Au 31 mars 2026, des informations publiques indiquent que axios@1.14.1 et axios@0.30.4 ont été confirmées comme des versions malveillantes. Les deux ont été injectées avec une dépendance supplémentaire, plain-crypto-js@4.2.1, qui peut déployer une charge malveillante multiplateforme via un script postinstall. L’impact de cet incident sur OpenClaw doit être jugé selon différents scénarios : 1) Scénario de compilation du code : pas d’impact Le fichier de verrouillage v2026.3.28 verrouille réellement axios@1.13.5 / 1.13.6, sans correspondre aux versions malveillantes. 2) Scénario npm install -g openclaw@2026.3.28 : risque d’exposition historique possible La raison est que, dans la chaîne de dépendances, il existe : openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Pendant la fenêtre où les versions malveillantes étaient encore en ligne, il est possible qu’elles soient résolues vers axios@1.14.1. 3) Résultat actuel de réinstallation : npm a rétrogradé la résolution vers axios@1.14.0, mais dans les environnements où une installation a eu lieu pendant la fenêtre d’attaque, il est toujours recommandé de traiter selon le scénario affecté et de vérifier les IoC. Par ailleurs, SlowMist indique que si un répertoire plain-crypto-js est trouvé, même si son package.json a été nettoyé, il faut le considérer comme une trace d’exécution à haut risque. Pour les hôtes ayant exécuté npm install ou npm install -g openclaw@2026.3.28 pendant la fenêtre d’attaque, il est recommandé de faire immédiatement une rotation des identifiants et de mener une enquête côté hôte. (Source : ODAILY)