Gate News 消息,3 月 31 日,慢霧安全團隊發布預警,截至 2026 年 3 月 31 日,公開情報顯示 axios@1.14.1 與 axios@0.30.4 已被確認為惡意版本。兩者均被植入額外依賴 plain-crypto-js@4.2.1,该依赖可透過 postinstall 腳本投遞跨平台惡意載荷。
該事件對 OpenClaw 的影響需分場景判斷:1)原始碼建置場景不受影響,v2026.3.28 鎖檔實際鎖定的是 axios@1.13.5 / 1.13.6,未命中惡意版本;2)npm install -g openclaw@2026.3.28 場景存在歷史暴露風險,原因是依賴鏈中存在 openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4,在惡意版本仍在線的時間窗口內,可能被解析到 axios@1.14.1;3)目前重新安裝結果顯示,npm 已回退解析到 axios@1.14.0,但在攻擊窗口內安裝過的環境,仍建議按受影響場景處理並排查 IoC。
慢霧提示,若發現 plain-crypto-js 目錄存在,即使其中 package.json 已被清理,也應視為高風險執行痕跡。對攻擊窗口內執行過 npm install 或 npm install -g openclaw@2026.3.28 的主機,建議立即輪換憑據並開展主機側排查。
免責聲明:本頁面資訊可能來自第三方,不代表 Gate 的觀點或意見。頁面顯示的內容僅供參考,不構成任何財務、投資或法律建議。Gate 對資訊的準確性、完整性不作保證,對因使用本資訊而產生的任何損失不承擔責任。虛擬資產投資屬高風險行為,價格波動劇烈,您可能損失全部投資本金。請充分了解相關風險,並根據自身財務狀況和風險承受能力謹慎決策。具體內容詳見
聲明。
相關文章
Rhea Finance 遭 Oracle 攻擊損失 1,840 萬美元:ZachXBT 示警、Tether 凍結 434 萬 USDT,攻擊者退回部分資金
Rhea Finance 在 NEAR Protocol 上遭遇 Oracle 操縱攻擊,損失達 1,840 萬美元,兩倍於初步估計。攻擊者操控假代幣報價,造成抵押品估值錯誤。Tether 凍結約 434 萬 USDT,攻擊者退還約 350 萬美元資金,迄今追回資金超過 780 萬美元,凸顯 Oracle 安全性的重要性。
鏈新聞abmedia7小時前
eth.limo DNS 遭受攻擊,Vitalik 呼籲用戶暫停存取並改用 IPFS
Vitalik Buterin 於 4 月 18 日警告,針對 eth.limo 的 DNS 註冊商發動的攻擊。此前,他敦促用戶避免造訪 vitalik.eth.limo 及相關頁面。他建議在問題解決前改用 IPFS 作為替代方案。
GateNews7小時前
受制裁交易所 Grinex 遭 1370 萬美元駭客攻擊;指責外國情報機構
Grinex 是一家遭到制裁的加密「盧布」交易所,因遭受網路攻擊而中止營運;該攻擊盜走了超過 13.74 百萬美元的 USDT。據悉,這起攻擊可能涉及以國家層級行動者為首,目的是使俄羅斯的金融體系陷入不穩。Grinex 正與執法機關合作,但尚無恢復服務的時間表。
Coinpedia15小時前
Figure 面臨空頭賣方指控:針對區塊鏈整合主張;FIGR 股價較 1 月高點下跌 53%
Figure Technology Solutions(Figure 科技解決方案)遭到 Morpheus Research 指控,指其誇大了區塊鏈技術的使用情況,導致股價大幅下跌。Figure 為其營運辯護,強調其數位資產功能與強勁的績效指標。
GateNews22小時前
休士頓加密詐騙犯因$20M Meta-1 Coin詐騙被判23年
休士頓企業家羅伯特·鄧拉普(Robert Dunlap)因涉及$20 百萬美元的加密貨幣詐騙而被判處23年監禁;詐騙利用虛構資產與欺騙手法,影響超過1,000名受害者。他的案件反映出與加密相關的網路犯罪正在更廣泛地上升。
GateNews04-17 12:11
慢霜警告:利用假冒「Harmony Voice」軟體進行的在線釣魚攻擊
慢霜(SlowMist)的安全團隊已警告,存在針對加密貨幣用戶的社交工程攻擊活動。詐騙者冒充專案合作夥伴,誘騙用戶下載被偽裝成翻譯工具的惡意應用程式。建議用戶核實軟體的真實性。
GateNews04-17 11:46
