SlowMist: Atenção à verificação de versões maliciosas do axios 1.14.1 / 0.30.4 e ao risco de exposição na instalação global do npm do histórico do OpenClaw

Notícias da ME, mensagem em 31 de março (UTC+8). Até 31 de março de 2026, informação pública indica que as versões axios@1.14.1 e axios@0.30.4 foram confirmadas como versões maliciosas. Ambas foram infetadas com uma dependência adicional plain-crypto-js@4.2.1; esta dependência consegue entregar cargas maliciosas multiplataforma através de um script postinstall. O impacto deste incidente na OpenClaw deve ser avaliado por cenários: 1) Cenário de compilação a partir de código: não é afetada. O ficheiro de bloqueio da v2026.3.28 bloqueia efetivamente axios@1.13.5 / 1.13.6, não atingindo as versões maliciosas. 2) Cenário: npm install -g openclaw@2026.3.28: existe um risco histórico de exposição. A razão é que, na cadeia de dependências, existe: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. No intervalo de tempo em que as versões maliciosas ainda estavam online, pode ser resolvido para axios@1.14.1. 3) Resultado atual de reinstalação: a npm reverteu a resolução para axios@1.14.0, mas em ambientes que instalaram dentro da janela de ataque, recomenda-se ainda tratar conforme o cenário afetado e verificar os IoC. Além disso, SlowMist alerta que, se for detetado que existe o diretório plain-crypto-js, mesmo que o package.json dentro dele tenha sido limpo, deve ser tratado como um indício de execução de alto risco. Para anfitriões que executaram npm install ou npm install -g openclaw@2026.3.28 dentro da janela de ataque, recomenda-se a rotação imediata de credenciais e a realização de uma verificação no lado do anfitrião. (Fonte: ODAILY)