SlowMist: вредоносные версии Axios 1.14.1 и 0.30.4; риски при глобальной установке OpenClaw через npm
По данным Odaily Planet Daily, на 31 марта 2026 года в открытых источниках подтверждено, что axios@1.14.1 и axios@0.30.4 являются вредоносными версиями. В обе сборки добавлена дополнительная зависимость plaincryptojs@4.2.1, которая через postinstall-скрипт доставляет кроссплатформенную вредоносную нагрузку.
SlowMist отмечает, что влияние на OpenClaw следует оценивать по сценариям.
1) Сборка из исходников: версия v2026.3.28 не затронута. Файл lock фактически фиксирует axios@1.13.5 / 1.13.6, что не совпадает с вредоносными версиями.
2) Сценарий npm install -g openclaw@2026.3.28: существует риск исторического попадания. В цепочке зависимостей присутствует openclaw > @line/botsdk@10.6.0 > optionalDependencies.axios@^1.7.4. В период доступности вредоносного релиза разрешение зависимости могло привести к axios@1.14.1.
3) Текущий результат переустановки: npm снова разрешает axios@1.14.0. При этом среды, установленные в окно атаки, следует считать потенциально затронутыми и проверить на IoC.
Дополнительно SlowMist указывает: обнаружение каталога plaincryptojs нужно трактовать как высокорисковый след исполнения даже в случае удаления находящегося внутри package.json. Для хостов, где в окно атаки выполнялись npm install или npm install -g openclaw@2026.3.28, рекомендуется немедленно сменить учетные данные и провести расследование на стороне хоста.
