SlowMist : Attention à la vérification des versions malveillantes d'axios 1.14.1 / 0.30.4 et des risques d'exposition liés à l'historique d'installation globale de npm d'OpenClaw

Actualité ME : message, le 31 mars (UTC+8). Au 31 mars 2026, des informations publiques indiquent qu’axios@1.14.1 et axios@0.30.4 ont été confirmés comme étant des versions malveillantes. Les deux ont été infectées par une dépendance supplémentaire, plain-crypto-js@4.2.1 ; cette dépendance peut déployer une charge utile malveillante multiplateforme via un script postinstall. L’impact de cet incident sur OpenClaw doit être évalué par scénarios : 1) Scénario de compilation du code source : non affecté. Le fichier de verrouillage v2026.3.28 cible en réalité axios@1.13.5 / 1.13.6, sans correspondre aux versions malveillantes. 2) Scénario npm install -g openclaw@2026.3.28 : risque d’exposition historique. La raison est qu’il existe, dans la chaîne de dépendances : openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Dans la fenêtre de temps où les versions malveillantes étaient encore en ligne, il est possible qu’elles soient résolues vers axios@1.14.1. 3) Résultat d’une réinstallation actuelle : npm a rétrodéféré la résolution vers axios@1.14.0, mais, pour les environnements ayant installé pendant la fenêtre d’attaque, il est toujours recommandé de traiter selon les scénarios affectés et de rechercher les IoC. En outre, SlowMist signale que, si le répertoire plain-crypto-js est présent, même si son package.json a été nettoyé, il faut le considérer comme une trace d’exécution à haut risque. Pour les hôtes ayant exécuté npm install ou npm install -g openclaw@2026.3.28 pendant la fenêtre d’attaque, il est recommandé de faire immédiatement une rotation des identifiants et de procéder à une enquête côté hôte. (Source : ODAILY)