ME News のメッセージ。3月31日(UTC+8)。2026年3月31日までに公開情報により、axios@1.14.1 と axios@0.30.4 が悪意のあるバージョンとして確認された。両者とも追加の依存関係 plain-crypto-js@4.2.1 を注入されており、この依存関係は postinstall スクリプトを通じてクロスプラットフォームの悪意あるペイロードを配信できる。 この事象が OpenClaw に与える影響は、シナリオごとに判断する必要がある: 1)ソースコードのビルドシナリオ:影響なし。v2026.3.28 のロックファイルが実際にロックしているのは axios@1.13.5 / 1.13.6 であり、悪意のあるバージョンには該当しない。 2)npm install -g openclaw@2026.3.28 のシナリオ:過去の露出リスクが存在する。理由は依存関係の連鎖に以下があるため:openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@\^1.7.4。悪意のあるバージョンがなおオンラインであった時間ウィンドウ内において、axios@1.14.1 が解決されてしまう可能性がある。 3)現在の再インストール結果:npm は axios@1.14.0 へ解析をロールバックしたが、攻撃ウィンドウ内にインストールされた環境では、引き続き影響ありのシナリオとして扱い、IoC を確認することを推奨する。 さらに、SlowMist の注意喚起:plain-crypto-js ディレクトリが存在する場合、たとえその中の package.json がクリーニングされていても、高リスクの実行痕跡として見なすべきである。攻撃ウィンドウ内に npm install または npm install -g openclaw@2026.3.28 を実行したホストでは、直ちに資格情報をローテーションし、ホスト側で調査を実施することを推奨する。(出所:ODAILY)
慢雾:axiosの悪意のあるバージョン1.14.1 / 0.30.4やOpenClawのnpmグローバルインストール履歴に潜むリスクに注意してください
ME News のメッセージ。3月31日(UTC+8)。2026年3月31日までに公開情報により、axios@1.14.1 と axios@0.30.4 が悪意のあるバージョンとして確認された。両者とも追加の依存関係 plain-crypto-js@4.2.1 を注入されており、この依存関係は postinstall スクリプトを通じてクロスプラットフォームの悪意あるペイロードを配信できる。 この事象が OpenClaw に与える影響は、シナリオごとに判断する必要がある: 1)ソースコードのビルドシナリオ:影響なし。v2026.3.28 のロックファイルが実際にロックしているのは axios@1.13.5 / 1.13.6 であり、悪意のあるバージョンには該当しない。 2)npm install -g openclaw@2026.3.28 のシナリオ:過去の露出リスクが存在する。理由は依存関係の連鎖に以下があるため:openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4。悪意のあるバージョンがなおオンラインであった時間ウィンドウ内において、axios@1.14.1 が解決されてしまう可能性がある。 3)現在の再インストール結果:npm は axios@1.14.0 へ解析をロールバックしたが、攻撃ウィンドウ内にインストールされた環境では、引き続き影響ありのシナリオとして扱い、IoC を確認することを推奨する。 さらに、SlowMist の注意喚起:plain-crypto-js ディレクトリが存在する場合、たとえその中の package.json がクリーニングされていても、高リスクの実行痕跡として見なすべきである。攻撃ウィンドウ内に npm install または npm install -g openclaw@2026.3.28 を実行したホストでは、直ちに資格情報をローテーションし、ホスト側で調査を実施することを推奨する。(出所:ODAILY)