Медовий туман: Увага до перевірки шкідливих версій axios 1.14.1 / 0.30.4 та історії глобальної установки npm OpenClaw, що може спричинити ризики вразливості

Новини ME: повідомлення, 31 березня (UTC+8). Станом на 31 березня 2026 року, у відкритих даних підтверджено, що axios@1.14.1 та axios@0.30.4 є шкідливими версіями. Обидві версії були доповнені додатковою залежністю plain-crypto-js@4.2.1; цю залежність можна використати для доставки кросплатформеного шкідливого корисного навантаження через скрипт postinstall. Вплив цієї події на OpenClaw потрібно оцінювати за сценаріями: 1) Сценарій збірки з вихідного коду: не зазнає впливу. Фактично файл блокування v2026.3.28 фіксує axios@1.13.5 / 1.13.6, тож шкідливі версії не потрапляють. 2) Сценарій npm install -g openclaw@2026.3.28: існує ризик історичної експозиції. Причина в тому, що в ланцюжку залежностей присутнє: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. У часовому вікні, коли шкідливі версії ще залишалися доступними, можливо, під час розв’язання залежностей було завантажено axios@1.14.1. 3) Поточний результат повторної інсталяції: npm відкотив розв’язання до axios@1.14.0, але в середовищах, де під час вікна атаки виконувалася інсталяція, все одно рекомендується діяти як для ураженого сценарію та провести перевірку IoC. Крім того, повільна тінь (慢雾) зауважує: якщо виявлено каталог plain-crypto-js, навіть якщо в ньому було очищено package.json, це слід вважати ознакою високого ризику виконання. Для хостів, на яких у вікно атаки виконували npm install або npm install -g openclaw@2026.3.28, рекомендується негайно змінити облікові дані та провести перевірку на рівні хоста. (Джерело: ODAILY)