SlowMist: Внимание к проверке вредоносных версий axios 1.14.1 / 0.30.4 и истории глобальной установки npm OpenClaw, которая может привести к рискам раскрытия информации

ME News сообщение, 31 марта (UTC+8), по состоянию на 31 марта 2026 года, открытая информация показывает, что axios@1.14.1 и axios@0.30.4 были подтверждены как вредоносные версии. Обе версии были внедрены с дополнительной зависимостью plain-crypto-js@4.2.1; эту зависимость можно доставить через postinstall-скрипт с помощью кроссплатформенной вредоносной полезной нагрузки. Влияние этого инцидента на OpenClaw необходимо оценивать по сценариям: 1）сценарий сборки из исходников: не затронут; фактический lock-файл в v2026.3.28 фиксирует axios@1.13.5 / 1.13.6, не попадая на вредоносные версии. 2）сценарий: npm install -g openclaw@2026.3.28: есть риск исторического раскрытия. Причина в том, что в цепочке зависимостей присутствует: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. В пределах временного окна, когда вредоносные версии все еще были доступны в сети, возможно, что будет выполнено разрешение к axios@1.14.1. 3）текущий результат переустановки: npm откатил разрешение до axios@1.14.0, но для сред, где установка выполнялась в пределах окна атаки, все равно рекомендуется обрабатывать по затронутому сценарию и провести проверку IoC. Кроме того, SlowMist предупреждает: если обнаружен каталог plain-crypto-js, даже когда package.json в нем уже был очищен, это следует рассматривать как следы высокорискового выполнения. Для хостов, на которых в пределах окна атаки выполняли npm install или npm install -g openclaw@2026.3.28, рекомендуется немедленно выполнить ротацию учетных данных и провести проверку на стороне хоста. (Источник: ODAILY)