SlowMist : Attention à la vérification des versions malveillantes d'axios 1.14.1 / 0.30.4 et des risques d'exposition liés à l'historique d'installation globale de npm d'OpenClaw

Actualités ME : Message, le 31 mars (UTC+8), jusqu’au 31 mars 2026, les informations publiques indiquent qu’axios@1.14.1 et axios@0.30.4 ont été confirmées comme étant des versions malveillantes. Les deux ont été instrumentées avec une dépendance supplémentaire, plain-crypto-js@4.2.1, laquelle peut déployer des charges utiles malveillantes multiplateformes via un script postinstall. L’impact de cet incident sur OpenClaw doit être évalué par scénarios : 1）Scénario de compilation à partir du code source : aucune incidence. Le fichier de verrouillage v2026.3.28 verrouille en réalité axios@1.13.5 / 1.13.6, sans correspondre aux versions malveillantes. 2）Scénario npm install -g openclaw@2026.3.28 : risque d’exposition historique. Raison : la chaîne de dépendances contient : openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Pendant la fenêtre temporelle où les versions malveillantes restent en ligne, elles peuvent potentiellement être résolues vers axios@1.14.1. 3）Résultat de la réinstallation actuelle : npm a ramené la résolution vers axios@1.14.0, mais dans les environnements où l’installation a eu lieu durant la fenêtre d’attaque, il est toujours recommandé de traiter selon les scénarios impactés et de vérifier les IoC. En outre, SlowMist avertit : si le répertoire plain-crypto-js est présent, même si son package.json a été nettoyé, il faut le considérer comme une trace d’exécution à haut risque. Pour les hôtes ayant exécuté npm install ou npm install -g openclaw@2026.3.28 durant la fenêtre d’attaque, il est recommandé de faire immédiatement pivoter les identifiants et d’effectuer une vérification côté hôte. (Source : ODAILY)