Медовий туман: Увага до перевірки шкідливих версій axios 1.14.1 / 0.30.4 та історії глобальної установки npm OpenClaw, що може спричинити ризики вразливості

Новини ME: повідомлення від 31 березня (UTC+8). Станом на 31 березня 2026 року, публічна інформація вказує, що axios@1.14.1 і axios@0.30.4 були підтверджені як шкідливі версії. Обидві були інфільтровані додатковою залежністю plain-crypto-js@4.2.1, яку можна використати для доставки кросплатформного шкідливого корисного навантаження через postinstall-скрипт. Вплив цієї події на OpenClaw потрібно визначати за сценаріями: 1) Сценарій збірки з вихідного коду: не впливає — фактичний locked-файл v2026.3.28 фіксує axios@1.13.5 / 1.13.6, тож не потрапляє на шкідливі версії. 2) Сценарій npm install -g openclaw@2026.3.28: існує ризик історичної експозиції. Причина в тому, що в ланцюжку залежностей є: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. У часовому вікні, коли шкідливі версії все ще були доступні онлайн, можливо, їх було розв’язано до axios@1.14.1. 3) Поточний результат повторної інсталяції: npm відкотив розв’язання до axios@1.14.0, але для середовищ, де під час вікна атаки була виконана інсталяція, все одно рекомендується опрацьовувати їх як уражені та перевірити IoC. Крім того, SlowMist зауважує: якщо виявлено каталог plain-crypto-js, то навіть якщо з нього вже було очищено package.json, це слід розглядати як високоризиковий слід виконання. Для хостів, на яких під час вікна атаки виконували npm install або npm install -g openclaw@2026.3.28, рекомендується негайно змінити облікові дані та провести розслідування на стороні хоста. (Джерело: ODAILY)