Lời nhắc Mists: Phiên bản độc hại của axios 1.14.1 / 0.30.4 có rủi ro an ninh, khuyến nghị kiểm tra và luân phiên thông tin đăng nhập

Tin tức Gate News, ngày 31 tháng 3, đội ngũ an ninh SlowMist đã phát hành cảnh báo. Tính đến ngày 31 tháng 3 năm 2026, theo thông tin công khai, axios@1.14.1 và axios@0.30.4 đã được xác nhận là các phiên bản độc hại. Cả hai đều bị chèn thêm phần phụ thuộc plain-crypto-js@4.2.1; phần phụ thuộc này có thể thông qua script postinstall để tải lên payload độc hại đa nền tảng.

Ảnh hưởng của sự kiện này đến OpenClaw cần được đánh giá theo từng kịch bản: 1）Trong kịch bản xây dựng từ mã nguồn, không bị ảnh hưởng; tệp khóa v2026.3.28 thực tế khóa axios@1.13.5 / 1.13.6, không trúng phiên bản độc hại. 2）Kịch bản npm install -g openclaw@2026.3.28 có rủi ro phơi nhiễm lịch sử; nguyên nhân là trong chuỗi phụ thuộc tồn tại openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Trong khung thời gian các phiên bản độc hại vẫn còn trực tuyến, có thể bị phân giải thành axios@1.14.1. 3）Kết quả cài đặt lại hiện tại cho thấy npm đã quay lui việc phân giải về axios@1.14.0, nhưng trong các môi trường đã cài đặt trong cửa sổ tấn công, vẫn khuyến nghị xử lý theo kịch bản bị ảnh hưởng và rà soát IoC.

SlowMist cảnh báo rằng, nếu phát hiện thư mục plain-crypto-js tồn tại, ngay cả khi package.json trong đó đã bị dọn sạch, cũng cần xem đó là dấu vết thực thi rủi ro cao. Đối với các máy chủ đã thực thi npm install hoặc npm install -g openclaw@2026.3.28 trong cửa sổ tấn công, khuyến nghị ngay lập tức thay đổi thông tin xác thực và tiến hành rà soát phía máy chủ.