Повідомлення про повільний туман: шкідлива версія axios 1.14.1 / 0.30.4 містить ризики для безпеки, рекомендуємо виконати перевірку та змінити облікові дані

Новини від Gate News: повідомлення, 31 березня; команда безпеки Mslow опублікувала попередження. Станом на 31 березня 2026 року, публічні дані свідчать, що axios@1.14.1 та axios@0.30.4 уже підтверджено як шкідливі версії. Обидві версії були інфільтровані додатковою залежністю plain-crypto-js@4.2.1; цю залежність можна використати для доставки кросплатформеного шкідливого корисного навантаження через скрипт postinstall.

Вплив цієї події на OpenClaw слід визначати в розрізі сценаріїв: 1) сценарій збірки з вихідного коду не зазнає впливу; у v2026.3.28 lock-файл фактично зафіксовано axios@1.13.5 / 1.13.6, він не містить шкідливих версій; 2) сценарій npm install -g openclaw@2026.3.28 має ризик історичного розкриття, причина — у ланцюжку залежностей присутня залежність openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4; у часовому вікні, коли шкідливі версії ще були доступні онлайн, можливе резольвування до axios@1.14.1; 3) поточний результат повторної інсталяції показує, що npm відкотив резольвінг до axios@1.14.0, але в середовищах, де інсталяція відбувалася в межах атакуючого вікна, все ще рекомендується обробляти за сценарієм під впливом і виконати перевірку IoC.

Mslow попереджає: якщо буде виявлено каталог plain-crypto-js, навіть якщо в ньому очищено package.json, це слід розцінювати як слід високого ризику виконання. На хостах, на яких виконували npm install або npm install -g openclaw@2026.3.28 у вікні атаки, рекомендується негайно змінити облікові дані (credentials) та провести перевірку на рівні хоста.