coin-img-ETHETH-1.13%coin-img-BTCBTC-1.26%coin-img-SOLSOL-3.96%coin-img-XAUTXAUT+0.48%coin-img-PAXGPAXG+0.45%coin-img-BASEDBASED+110.20%coin-img-CDDCDD-61.56%coin-img-SAIMSAIM-37.15%coin-img-ETHETH-1.13%coin-img-BTCBTC-1.26%coin-img-SOLSOL-3.96%coin-img-XAUTXAUT+0.48%coin-img-PAXGPAXG+0.45%coin-img-BASEDBASED+110.20%coin-img-CDDCDD-61.56%coin-img-SAIMSAIM-37.15%coin-img-ETHETH-1.13%coin-img-BTCBTC-1.26%coin-img-SOLSOL-3.96%coin-img-XAUTXAUT+0.48%coin-img-PAXGPAXG+0.45%coin-img-BASEDBASED+110.20%coin-img-CDDCDD-61.56%coin-img-SAIMSAIM-37.15%coin-img-ETHETH-1.13%coin-img-BTCBTC-1.26%coin-img-SOLSOL-3.96%coin-img-XAUTXAUT+0.48%coin-img-PAXGPAXG+0.45%coin-img-BASEDBASED+110.20%coin-img-CDDCDD-61.56%coin-img-SAIMSAIM-37.15%

SlowMist 警告:axios 1.14.1/0.30.4 被植入惡意程式,npm 全域安裝 OpenClaw 存在風險

Odaily Planet Daily 報道,根據截至 2026 年 3 月 31 日的公開情報,axios@1.14.1 及 axios@0.30.4 已被確認為惡意版本。兩者均被加入額外相依套件 plaincryptojs@4.2.1,並透過 postinstall 腳本投放跨平台惡意負載。 針對 OpenClaw 的影響,SlowMist 指需按不同使用情境評估: 1)原始碼編譯:v2026.3.28 不受影響。lock 檔實際鎖定 axios@1.13.5/1.13.6,與惡意版本不符。 2)執行 npm install -g openclaw@2026.3.28:存在歷史暴露風險。其相依鏈為 openclaw > @line/botsdk@10.6.0 > optionalDependencies.axios@^1.7.4;在惡意版本可被解析的時間窗內,可能會解析到 axios@1.14.1。 3)目前重新安裝結果:npm 已回復解析至 axios@1.14.0。即便如此,在攻擊時間窗內完成安裝的環境仍應視為可能受影響,並檢查 IoCs(入侵指標)。 SlowMist 另提醒,如在系統中偵測到 plaincryptojs 目錄,即使其內的 package.json 已被刪除,仍應視為高風險的執行痕跡。對於在攻擊時間窗內執行過 npm install 或 npm install -g openclaw@2026.3.28 的主機,建議立即輪換憑證並進行主機端調查。
免責聲明:以上內容均來源自第三方觀點,不代表 BingX 的立場,亦不構成任何財務建議。詳情請參閱《使用條款》