Màn Vụ: Chú ý kiểm tra các phiên bản độc hại của axios 1.14.1 / 0.30.4 và lịch sử cài đặt toàn cục của OpenClaw npm có nguy cơ lộ thông tin

Tin tức ME, ngày 31 tháng 3 (UTC+8), đến hết ngày 31 tháng 3 năm 2026, theo thông tin công khai cho thấy axios@1.14.1 và axios@0.30.4 đã được xác nhận là các phiên bản độc hại. Cả hai đều bị cấy thêm phụ thuộc plain-crypto-js@4.2.1, phụ thuộc này có thể triển khai tải trọng độc hại đa nền tảng thông qua script postinstall. Sự kiện này ảnh hưởng đến OpenClaw cần được đánh giá theo từng tình huống: 1）Trường hợp xây dựng từ mã nguồn: không bị ảnh hưởng. Tệp khóa v2026.3.28 thực tế khóa axios@1.13.5 / 1.13.6, không trúng các phiên bản độc hại. 2）Trường hợp npm install -g openclaw@2026.3.28: tồn tại rủi ro lộ dữ liệu trong quá khứ. Nguyên nhân là trong chuỗi phụ thuộc có: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Trong khung thời gian các phiên bản độc hại vẫn còn hoạt động, có thể bị phân giải đến axios@1.14.1. 3）Kết quả cài đặt lại hiện tại: npm đã quay lại việc phân giải về axios@1.14.0 nhưng với các môi trường đã từng cài đặt trong khung tấn công, vẫn nên xử lý theo tình huống bị ảnh hưởng và kiểm tra IoC. Ngoài ra, nếu phát hiện thư mục plain-crypto-js tồn tại, ngay cả khi package.json bên trong đã bị dọn sạch, cũng cần xem đó là dấu vết thực thi có rủi ro cao. Đối với các máy chủ đã thực hiện npm install hoặc npm install -g openclaw@2026.3.28 trong khung tấn công, khuyến nghị ngay lập tức thay đổi thông tin xác thực và tiến hành điều tra phía máy chủ. (Nguồn: ODAILY)