Mànwù: Perhatikan pemeriksaan versi jahat axios 1.14.1 / 0.30.4 dan riwayat instalasi global npm OpenClaw yang berisiko terungkap

Berita ME, pada 31 Maret (UTC+8), hingga 31 Maret 2026, informasi publik menunjukkan bahwa axios@1.14.1 dan axios@0.30.4 telah dikonfirmasi sebagai versi berbahaya. Keduanya telah disusupi dependensi tambahan plain-crypto-js@4.2.1, dan dependensi ini dapat mengirimkan muatan berbahaya lintas platform melalui skrip postinstall. Dampak peristiwa ini terhadap OpenClaw perlu dinilai berdasarkan skenario: 1）Skenario build dari kode sumber: tidak terpengaruh; file kunci v2026.3.28 yang sebenarnya dikunci adalah axios@1.13.5 / 1.13.6, sehingga tidak mengenai versi berbahaya. 2）Skenario npm install -g openclaw@2026.3.28: terdapat risiko paparan historis. Alasannya adalah dalam rantai dependensi terdapat: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Dalam jendela waktu ketika versi berbahaya masih online, kemungkinan dapat diparsing menjadi axios@1.14.1. 3）Hasil instal ulang saat ini: npm telah mengembalikan penguraian menjadi axios@1.14.0, tetapi pada lingkungan yang telah terinstal selama jendela serangan, masih disarankan untuk diperlakukan sesuai skenario yang terpengaruh, serta melakukan pengecekan IoC. Selain itu, SlowMist mengingatkan bahwa jika ditemukan direktori plain-crypto-js, meskipun package.json di dalamnya telah dibersihkan, tetap harus dianggap sebagai jejak eksekusi berisiko tinggi. Untuk host yang menjalankan npm install atau npm install -g openclaw@2026.3.28 selama jendela serangan, disarankan segera melakukan rotasi kredensial dan melakukan pengecekan sisi host. (Sumber: ODAILY)