SlowMist: Atenção à verificação de versões maliciosas do axios 1.14.1 / 0.30.4 e ao risco de exposição na instalação global do npm do histórico do OpenClaw

Notícias ME, 31 de março (UTC+8). Até 31 de março de 2026, as informações públicas indicam que as versões axios@1.14.1 e axios@0.30.4 foram confirmadas como versões maliciosas. Ambas foram injetadas com dependências adicionais plain-crypto-js@4.2.1, que pode entregar payloads maliciosos multiplataforma através de um script postinstall.

O impacto deste incidente na OpenClaw deve ser avaliado por cenários:

1）Cenário de construção a partir do código: não é afetado. O ficheiro de bloqueio da v2026.3.28 bloqueia efetivamente axios@1.13.5 / 1.13.6, não tendo correspondido a versões maliciosas.

2）Cenário: npm install -g openclaw@2026.3.28: existe risco de exposição histórica. O motivo é que, na cadeia de dependências, existe: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Durante a janela em que as versões maliciosas ainda estavam online, é possível que tenham sido resolvidas para axios@1.14.1.

3）Resultado de reinstalação atual: o npm reverteu a resolução para axios@1.14.0, mas em ambientes onde tenha sido instalado durante a janela do ataque, recomenda-se ainda tratá-los como afetados e verificar os IoC.

Além disso, SlowMist alerta que, se for encontrado o diretório plain-crypto-js, mesmo que o package.json nele tenha sido limpo, deve ser considerado um indício de execução de alto risco. Para hosts que tenham executado npm install ou npm install -g openclaw@2026.3.28 durante a janela do ataque, recomenda-se a substituição imediata das credenciais e a realização de uma investigação do lado do host. (Fonte: ODAILY)