SlowMist: Atenção à verificação de versões maliciosas do axios 1.14.1 / 0.30.4 e ao risco de exposição na instalação global do npm do histórico do OpenClaw

Notícia da ME, mensagem, 31 de março (UTC+8). Até 31 de março de 2026, as informações públicas indicam que axios@1.14.1 e axios@0.30.4 foram confirmadas como versões maliciosas. Ambas foram injectadas com uma dependência adicional plain-crypto-js@4.2.1, que consegue entregar cargas maliciosas multiplataforma através do script postinstall. O impacto deste incidente no OpenClaw deve ser avaliado por cenários: 1) Cenário de construção a partir do código-fonte: não afectado. O ficheiro lock da v2026.3.28 bloqueia efectivamente axios@1.13.5 / 1.13.6, não atingindo as versões maliciosas. 2) Cenário de npm install -g openclaw@2026.3.28: existe um risco de exposição histórica. A razão é que a cadeia de dependências contém: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Durante a janela temporal em que as versões maliciosas ainda estavam online, pode ser efectivamente resolvido para axios@1.14.1. 3) Resultado da reinstalação actual: o npm recuou a resolução para axios@1.14.0, mas em ambientes onde foi instalada durante a janela de ataque, recomenda-se ainda tratar como cenário afectado e verificar IoC. Além disso, SlowMist alerta que, se for encontrado o directório plain-crypto-js, mesmo que o package.json nele contido já tenha sido limpo, deve ser considerado um indício de execução de alto risco. Para os hosts que executaram npm install ou npm install -g openclaw@2026.3.28 durante a janela de ataque, recomenda-se a substituição imediata das credenciais e a realização de uma investigação no lado do host. (Fonte: ODAILY)