coin-img-ETHETH-1.14%coin-img-BTCBTC-1.22%coin-img-SOLSOL-4.03%coin-img-XAUTXAUT+0.48%coin-img-PAXGPAXG+0.44%coin-img-BASEDBASED+110.20%coin-img-CDDCDD-61.20%coin-img-SAIMSAIM-37.17%coin-img-ETHETH-1.14%coin-img-BTCBTC-1.22%coin-img-SOLSOL-4.03%coin-img-XAUTXAUT+0.48%coin-img-PAXGPAXG+0.44%coin-img-BASEDBASED+110.20%coin-img-CDDCDD-61.20%coin-img-SAIMSAIM-37.17%coin-img-ETHETH-1.14%coin-img-BTCBTC-1.22%coin-img-SOLSOL-4.03%coin-img-XAUTXAUT+0.48%coin-img-PAXGPAXG+0.44%coin-img-BASEDBASED+110.20%coin-img-CDDCDD-61.20%coin-img-SAIMSAIM-37.17%coin-img-ETHETH-1.14%coin-img-BTCBTC-1.22%coin-img-SOLSOL-4.03%coin-img-XAUTXAUT+0.48%coin-img-PAXGPAXG+0.44%coin-img-BASEDBASED+110.20%coin-img-CDDCDD-61.20%coin-img-SAIMSAIM-37.17%

SlowMist 警告 axios 惡意版本 1.14.1/0.30.4 OpenClaw npm 安裝或有受影響風險

據 ME News 報道,截至 3 月 31 日(UTC+8),公開情報已確認 axios@1.14.1 及 axios@0.30.4 為惡意版本。兩個版本均被植入額外依賴 plaincryptojs@4.2.1,並透過 postinstall 腳本下發跨平台惡意載荷。 就 OpenClaw 的影響,需按安裝場景評估: 1)原始碼編譯:不受影響。v2026.3.28 的 lockfile 明確鎖定 axios@1.13.5/1.13.6,並非上述惡意版本。 2)執行 npm install -g openclaw@2026.3.28:存在歷史暴露風險。原因在於依賴鏈 openclaw → @line/botsdk@10.6.0 → optionalDependencies.axios@^1.7.4,在惡意版本可被解析的時間窗口內,安裝可能會解析到 axios@1.14.1。 3)目前重新安裝:npm 已回復解析至 axios@1.14.0。不過,於攻擊窗口內完成安裝的環境仍應視為可能被入侵,並排查 IoC。 SlowMist 亦提醒,如在系統中發現 plaincryptojs 目錄,即使其 package.json 已被移除,仍應視為高風險執行痕跡。對於任何在攻擊窗口內曾執行 npm install 或 npm install -g openclaw@2026.3.28 的主機,建議立即輪換憑證並進行主機端調查。(來源:ODAILY)
ME
ME-2.90%
免責聲明:以上內容均來源自第三方觀點,不代表 BingX 的立場,亦不構成任何財務建議。詳情請參閱《使用條款》