ME News 消息,3 月 31 日(UTC+8), 截至 2026 年 3 月 31 日,公开情报显示 axios@1.14.1 与 axios@0.30.4 已被确认为恶意版本。两者均被植入额外依赖 plain-crypto-js@4.2.1,该依赖可通过 postinstall 脚本投递跨平台恶意载荷。 该事件对 OpenClaw 的影响需分场景判断: 1)源码构建场景:不受影响 v2026.3.28 锁文件实际锁定的是 axios@1.13.5 / 1.13.6,未命中恶意版本。 2)npm install -g openclaw@2026.3.28 场景:存在历史暴露风险 原因是依赖链中存在:openclaw -\> @line/bot-sdk@10.6.0 -\> optionalDependencies.axios@\^1.7.4。在恶意版本仍在线的时间窗口内,可能被解析到 axios@1.14.1。 3)当前重新安装结果:npm 已回退解析到 axios@1.14.0 但在攻击窗口内安装过的环境,仍建议按受影响场景处理,并排查 IoC。 此外慢雾提示,若发现 plain-crypto-js 目录存在,即使其中 package.json 已被清理,也应视为高风险执行痕迹。对攻击窗口内执行过 npm install 或 npm install -g openclaw@2026.3.28 的主机,建议立即轮换凭据并开展主机侧排查。(来源:ODAILY)
慢雾:注意排查axios恶意版本1.14.1 / 0.30.4及OpenClaw npm全局安装历史暴露风险
ME News 消息,3 月 31 日(UTC+8), 截至 2026 年 3 月 31 日,公开情报显示 axios@1.14.1 与 axios@0.30.4 已被确认为恶意版本。两者均被植入额外依赖 plain-crypto-js@4.2.1,该依赖可通过 postinstall 脚本投递跨平台恶意载荷。 该事件对 OpenClaw 的影响需分场景判断: 1)源码构建场景:不受影响 v2026.3.28 锁文件实际锁定的是 axios@1.13.5 / 1.13.6,未命中恶意版本。 2)npm install -g openclaw@2026.3.28 场景:存在历史暴露风险 原因是依赖链中存在:openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4。在恶意版本仍在线的时间窗口内,可能被解析到 axios@1.14.1。 3)当前重新安装结果:npm 已回退解析到 axios@1.14.0 但在攻击窗口内安装过的环境,仍建议按受影响场景处理,并排查 IoC。 此外慢雾提示,若发现 plain-crypto-js 目录存在,即使其中 package.json 已被清理,也应视为高风险执行痕迹。对攻击窗口内执行过 npm install 或 npm install -g openclaw@2026.3.28 的主机,建议立即轮换凭据并开展主机侧排查。(来源:ODAILY)