Màn Vụ: Chú ý kiểm tra các phiên bản độc hại của axios 1.14.1 / 0.30.4 và lịch sử cài đặt toàn cục của OpenClaw npm có nguy cơ lộ thông tin

Tin tức ME: Ngày 31 tháng 3 (UTC+8), tính đến ngày 31 tháng 3 năm 2026, theo thông tin công khai, axios@1.14.1 và axios@0.30.4 đã được xác nhận là các phiên bản độc hại. Cả hai đều bị cài thêm phụ thuộc plain-crypto-js@4.2.1; phụ thuộc này có thể triển khai payload độc hại đa nền tảng thông qua tập lệnh postinstall. Ảnh hưởng của sự kiện này đối với OpenClaw cần được đánh giá theo từng kịch bản: 1) Kịch bản biên dịch từ mã nguồn: không bị ảnh hưởng; tệp khóa v2026.3.28 thực tế khóa axios@1.13.5 / 1.13.6, không trúng phiên bản độc hại. 2) Kịch bản npm install -g openclaw@2026.3.28: có rủi ro lộ lọt trong quá khứ; nguyên nhân là trong chuỗi phụ thuộc tồn tại: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Trong khoảng thời gian phiên bản độc hại vẫn còn trực tuyến, có thể bị phân giải tới axios@1.14.1. 3) Kết quả cài đặt lại hiện tại: npm đã quay lui việc phân giải về axios@1.14.0, nhưng trong các môi trường đã cài đặt trong cửa sổ tấn công, vẫn nên xử lý theo kịch bản bị ảnh hưởng và rà soát IoC. Ngoài ra, SlowMist cũng lưu ý: nếu phát hiện thư mục plain-crypto-js tồn tại, ngay cả khi package.json bên trong đã bị dọn sạch, thì vẫn cần coi đó là dấu vết thực thi rủi ro cao. Đối với các máy chủ đã chạy npm install hoặc npm install -g openclaw@2026.3.28 trong cửa sổ tấn công, khuyến nghị ngay lập tức thay đổi thông tin xác thực và tiến hành điều tra phía máy chủ. (Nguồn: ODAILY)