Màn Vụ: Chú ý kiểm tra các phiên bản độc hại của axios 1.14.1 / 0.30.4 và lịch sử cài đặt toàn cục của OpenClaw npm có nguy cơ lộ thông tin

Tin tức ME News: ngày 31 tháng 3 (UTC+8). Tính đến ngày 31 tháng 3 năm 2026, theo thông tin công khai, axios@1.14.1 và axios@0.30.4 đã được xác nhận là các phiên bản độc hại. Cả hai đều bị cấy thêm một phần phụ thuộc plain-crypto-js@4.2.1, phần phụ thuộc này có thể triển khai tải trọng độc hại đa nền tảng thông qua script postinstall. Sự kiện này ảnh hưởng đến OpenClaw cần được đánh giá theo từng kịch bản: 1）Kịch bản xây dựng từ mã nguồn: không bị ảnh hưởng. Tệp khóa thực tế của v2026.3.28 khóa axios@1.13.5 / 1.13.6, không trúng các phiên bản độc hại. 2）Kịch bản npm install -g openclaw@2026.3.28: có rủi ro phơi bày lịch sử. Lý do là trong chuỗi phụ thuộc tồn tại: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Trong khoảng thời gian các phiên bản độc hại vẫn đang tồn tại trực tuyến, có thể bị phân giải đến axios@1.14.1. 3）Kết quả cài đặt lại hiện tại: npm đã quay lại việc phân giải về axios@1.14.0, nhưng ở các môi trường đã từng cài đặt trong cửa sổ tấn công, vẫn khuyến nghị xử lý theo kịch bản bị ảnh hưởng và rà soát IoC. Ngoài ra, SlowMist lưu ý rằng nếu phát hiện thư mục plain-crypto-js tồn tại, dù package.json trong đó đã được dọn sạch, cũng cần coi đó là dấu vết thực thi có rủi ro cao. Đối với các máy chủ đã thực thi npm install hoặc npm install -g openclaw@2026.3.28 trong cửa sổ tấn công, khuyến nghị ngay lập tức thay đổi/xoay vòng thông tin xác thực và tiến hành kiểm tra phía máy chủ. (Nguồn: ODAILY)