Медовий туман: Увага до перевірки шкідливих версій axios 1.14.1 / 0.30.4 та історії глобальної установки npm OpenClaw, що може спричинити ризики вразливості

Новини ME: повідомлення, 31 березня (UTC+8). Станом на 31 березня 2026 року, згідно з відкритою інформацією, axios@1.14.1 і axios@0.30.4 уже підтверджено як шкідливі версії. Обидві версії були інфіковані додатковою залежністю plain-crypto-js@4.2.1; цю залежність можна використати для доставки кросплатформного шкідливого корисного навантаження через postinstall-скрипт. Вплив цієї події на OpenClaw потрібно оцінювати залежно від сценарію:

1）Сценарій побудови з вихідного коду: не впливає. Файл блокування v2026.3.28 фактично фіксує axios@1.13.5 / 1.13.6, не зачіпаючи шкідливі версії.

2）Сценарій: npm install -g openclaw@2026.3.28. Є ризик історичної експозиції. Причина в тому, що в ланцюжку залежностей присутнє: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. У вікні часу, коли шкідливі версії ще були в мережі, існує можливість, що буде розпізнено axios@1.14.1.

3）Поточний результат повторної інсталяції: npm відкотив розбір до axios@1.14.0, однак для середовищ, у якіх було встановлено під час вікна атаки, усе одно рекомендується діяти як у сценарії, що зазнав впливу, та перевірити IoC.

Крім того, Slow Fog (повідомлення) застерігає: якщо знайдено каталог plain-crypto-js, навіть якщо в ньому вже очищено package.json, це слід розглядати як ознаку виконання з високим ризиком. Для хостів, на яких під час вікна атаки виконували npm install або npm install -g openclaw@2026.3.28, рекомендується негайно змінити облікові дані (перевести на ротацію) та провести перевірку на боці хоста. (Джерело: ODAILY)