Медовий туман: Увага до перевірки шкідливих версій axios 1.14.1 / 0.30.4 та історії глобальної установки npm OpenClaw, що може спричинити ризики вразливості

Новини ME: повідомлення, 31 березня (UTC+8), станом на 31 березня 2026 року, публічна інформація свідчить, що axios@1.14.1 та axios@0.30.4 уже підтверджено як шкідливі версії. Обидві версії були заражені додатковою залежністю plain-crypto-js@4.2.1, яку можна доставити кросплатформним зловмисним навантаженням через postinstall-скрипт. Вплив цієї події на OpenClaw слід оцінювати в розрізі сценаріїв: 1）сценарій збирання з вихідного коду: не впливає; фактичний файл блокування v2026.3.28 фіксує axios@1.13.5 / 1.13.6, не зачіпаючи шкідливі версії. 2）сценарій npm install -g openclaw@2026.3.28: існує історичний ризик експозиції. Причина в тому, що в ланцюжку залежностей є: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. У часовому вікні, коли шкідливі версії ще залишалися онлайн, потенційно могли бути розв’язані до axios@1.14.1. 3）поточний результат повторної інсталяції: npm відкотив розв’язання до axios@1.14.0, однак у середовищах, де під час вікна атаки було виконано встановлення, усе ще рекомендовано обробляти їх як такі, що зазнали впливу, та перевірити IoC. Крім того, SlowMist застерігає: якщо виявлено каталог plain-crypto-js, навіть коли там було очищено package.json, це слід вважати слідом високого ризику виконання. Для хостів, на яких під час вікна атаки виконували npm install або npm install -g openclaw@2026.3.28, рекомендується негайно змінити облікові дані та провести перевірку на рівні хоста.（Джерело: ODAILY）