Предупреждение от SlowMist: в вредоносных версиях axios 1.14.1 / 0.30.4 есть риски безопасности; рекомендуется проверить и обновить учетные данные

Gate News сообщения, 31 марта, команда безопасности SlowMist опубликовала предупреждение; по состоянию на 31 марта 2026 года публичная информация показывает, что axios@1.14.1 и axios@0.30.4 были подтверждены как вредоносные версии. Обе были внедрены с дополнительной зависимостью plain-crypto-js@4.2.1; эта зависимость может доставлять кроссплатформенные вредоносные полезные нагрузки через скрипт postinstall.

Влияние данного инцидента на OpenClaw необходимо оценивать по сценариям: 1) в сценарии сборки исходного кода влияние отсутствует; фактически файл блокировки v2026.3.28 закрепляет axios@1.13.5 / 1.13.6, вредоносные версии не затронуты; 2) в сценарии npm install -g openclaw@2026.3.28 существует риск исторического раскрытия, поскольку в цепочке зависимостей присутствует openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4, и в промежуток времени, когда вредоносные версии все еще были доступны онлайн, возможно, что будет выполнено разрешение на axios@1.14.1; 3) согласно текущему результату повторной установки, npm откатил разрешение до axios@1.14.0, однако в средах, где установка выполнялась в пределах окна атаки, все еще рекомендуется обрабатывать по затронутым сценариям и провести проверку на IoC.

SlowMist предупреждает: если обнаружена директория plain-crypto-js, даже если в ней package.json уже очищен, это следует рассматривать как высокорисковый след выполнения. Для хостов, на которых в пределах окна атаки выполнялись npm install или npm install -g openclaw@2026.3.28, рекомендуется немедленно заменить учетные данные и провести проверку на стороне хоста.