Медовий туман: Увага до перевірки шкідливих версій axios 1.14.1 / 0.30.4 та історії глобальної установки npm OpenClaw, що може спричинити ризики вразливості

Новини ME, повідомлення, 31 березня (UTC+8), станом на 31 березня 2026 року, публічні дані свідчать, що axios@1.14.1 та axios@0.30.4 уже були ідентифіковані як шкідливі версії. Обидві версії були модифіковані шляхом вбудовування додаткової залежності plain-crypto-js@4.2.1; ця залежність може здійснювати доставку кросплатформенного шкідливого корисного навантаження через скрипт postinstall. Вплив цієї події на OpenClaw потрібно визначати залежно від сценарію: 1）сценарій збірки з коду: не під впливом Файли lock v2026.3.28 фактично фіксують axios@1.13.5 / 1.13.6, не потрапляючи на шкідливі версії. 2）сценарій npm install -g openclaw@2026.3.28: існує історичний ризик компрометації Причина в тому, що в ланцюжку залежностей є: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. У проміжку часу, коли шкідливі версії ще були доступні в мережі, їх могли розв’язати до axios@1.14.1. 3）поточний результат повторної інсталяції: npm повернув розв’язання до axios@1.14.0, однак у середовищах, де під час вікна атаки виконувалася інсталяція, все ще рекомендується діяти як у сценарії, що зазнає впливу, та виконати пошук IoC. Крім того, повільний туман (slow mist) нагадує: якщо виявлено каталог plain-crypto-js, навіть якщо в ньому вже очищено package.json, це слід вважати ознакою високого ризику виконання. Для хостів, на яких під час вікна атаки виконували npm install або npm install -g openclaw@2026.3.28, рекомендується негайно змінити облікові дані (credentials) і провести перевірку з боку хоста.（来源：ODAILY）