Медовий туман: Увага до перевірки шкідливих версій axios 1.14.1 / 0.30.4 та історії глобальної установки npm OpenClaw, що може спричинити ризики вразливості

Новини ME: Повідомлення, 31 березня (UTC+8). Станом на 31 березня 2026 року публічно доступна інформація свідчить, що axios@1.14.1 та axios@0.30.4 уже підтверджені як шкідливі версії. Обидві версії були заражені додатковою залежністю plain-crypto-js@4.2.1; цю залежність можна доставити через скрипт postinstall шляхом впровадження кросплатформенних шкідливих корисних навантажень. Вплив цієї події на OpenClaw потрібно оцінювати за різними сценаріями: 1) Сценарій зі збиранням із вихідного коду: не впливає. Фактичний lock-файл у v2026.3.28 фіксує axios@1.13.5 / 1.13.6, не зачіпаючи шкідливі версії. 2) Сценарій: npm install -g openclaw@2026.3.28: існує історичний ризик експозиції. Причина полягає в тому, що в ланцюжку залежностей присутній: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. У часовому вікні, коли шкідливі версії ще були доступні, можливе розпізнавання до axios@1.14.1. 3) Поточний результат повторного встановлення: npm відкотив розв’язання до axios@1.14.0, але для середовищ, у які встановлення відбулося в межах атакувального вікна, все одно рекомендується поводитися як із ураженим сценарієм і виконати перевірку на IoC. Крім того, SlowMist попереджає: якщо виявлено каталог plain-crypto-js, навіть якщо в ньому package.json уже очищено, це слід розглядати як слід виконання з високим ризиком. Для хостів, на яких у межах атакувального вікна виконували npm install або npm install -g openclaw@2026.3.28, рекомендується негайно змінити облікові дані та провести перевірку з боку хоста. (Джерело: ODAILY)