SlowMist: Внимание к проверке вредоносных версий axios 1.14.1 / 0.30.4 и истории глобальной установки npm OpenClaw, которая может привести к рискам раскрытия информации

ME News сообщение, 31 марта (UTC+8), по состоянию на 31 марта 2026 года, опубликованная информация указывает, что axios@1.14.1 и axios@0.30.4 уже были подтверждены как вредоносные версии. Обе версии были внедрены вместе с дополнительной зависимостью plain-crypto-js@4.2.1; эта зависимость может доставлять кроссплатформенную вредоносную полезную нагрузку через postinstall-скрипт. Влияние данного инцидента на OpenClaw требуется оценивать по разным сценариям: 1) сценарий сборки из исходников: не затронуто; фактический lock-файл для v2026.3.28 блокирует axios@1.13.5 / 1.13.6 и не попадает на вредоносные версии. 2) сценарий npm install -g openclaw@2026.3.28: существует риск исторического раскрытия Причина в том, что в цепочке зависимостей есть: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. В течение временного окна, когда вредоносные версии всё ещё оставались доступными, возможно, будет выполнен разбор на axios@1.14.1. 3) текущий результат переустановки: npm откатил разбор до axios@1.14.0, но в средах, в которых была выполнена установка в рамках окна атаки, по-прежнему рекомендуется обрабатывать как затронутую среду и провести проверку IoC. Кроме того, SlowMist предупреждает: если обнаруживается каталог plain-crypto-js, то даже если в нём package.json уже очищен, это следует считать следом высокорискового выполнения. Для хостов, на которых в рамках окна атаки выполнялись npm install или npm install -g openclaw@2026.3.28, рекомендуется немедленно заменить учётные данные и выполнить проверку на стороне хоста. (Источник: ODAILY)