SlowMist: Atenção à verificação de versões maliciosas do axios 1.14.1 / 0.30.4 e ao risco de exposição na instalação global do npm do histórico do OpenClaw

Notícias ME, 31 de março (UTC+8), até 31 de março de 2026, as informações publicamente disponíveis indicam que a axios@1.14.1, a axios@0.30.4 e a axios@1.13.6 foram já confirmadas como versões maliciosas. Ambas foram comprometidas com dependências adicionais plain-crypto-js@4.2.1; esta dependência pode entregar cargas maliciosas multiplataforma através de um script postinstall. O impacto deste incidente no OpenClaw deve ser avaliado por cenários: 1）Cenário de construção a partir do código-fonte: não é afetado; o ficheiro de lock real v2026.3.28 bloqueia o axios@1.13.5 / 1.13.6, não atingindo as versões maliciosas. 2）Cenário npm install -g openclaw@2026.3.28: existe risco de exposição histórica. A razão é que na cadeia de dependências existe: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Durante a janela de tempo em que as versões maliciosas ainda estavam online, poderá ser analisado para axios@1.14.1. 3）Resultado da reinstalação atual: a npm retrocedeu a resolução para axios@1.14.0, mas nos ambientes em que foi instalada durante a janela de ataque, recomenda-se ainda tratar conforme o cenário afetado e verificar IoC. Além disso, SlowMist alerta: se for encontrado o diretório plain-crypto-js, mesmo que o respectivo package.json já tenha sido limpo, deve ser considerado um indício de execução de alto risco. Para hosts que tenham executado npm install ou npm install -g openclaw@2026.3.28 durante a janela de ataque, recomenda-se a rotação imediata de credenciais e a realização de uma verificação no lado do host. (Fonte: ODAILY)