SlowMist: Atenção à verificação de versões maliciosas do axios 1.14.1 / 0.30.4 e ao risco de exposição na instalação global do npm do histórico do OpenClaw

Notícias ME, 31 de março (UTC+8). Até 31 de março de 2026, a informação pública indica que axios@1.14.1 e axios@0.30.4 foram já confirmadas como versões maliciosas. Ambas foram comprometidas com uma dependência adicional plain-crypto-js@4.2.1, que pode entregar cargas maliciosas multiplataforma através de um script postinstall. O impacto deste incidente na OpenClaw deve ser avaliado por cenários: 1) Cenário de compilação a partir do código: não é afectada; o ficheiro lock da v2026.3.28 bloqueia efectivamente axios@1.13.5 / 1.13.6, não tendo correspondido às versões maliciosas. 2) Cenário npm install -g openclaw@2026.3.28: existe risco de exposição histórica. A razão é que na cadeia de dependências existe: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Durante a janela de tempo em que as versões maliciosas ainda estavam disponíveis online, é possível que sejam resolvidas como axios@1.14.1. 3) Resultado actual da reinstalação: o npm reverteu a resolução para axios@1.14.0; no entanto, em ambientes em que a instalação ocorreu durante a janela de ataque, recomenda-se ainda tratar o caso como afectado e verificar IoC. Além disso, SlowMist salienta que, se for encontrado o directório plain-crypto-js, mesmo que o seu package.json tenha sido limpo, isso deve ser considerado como um indício de execução de alto risco. Para hosts em que foi executado npm install ou npm install -g openclaw@2026.3.28 durante a janela de ataque, recomenda-se a imediata rotação das credenciais e a realização de uma verificação do lado do host. (Fonte: ODAILY)