Màn Vụ: Chú ý kiểm tra các phiên bản độc hại của axios 1.14.1 / 0.30.4 và lịch sử cài đặt toàn cục của OpenClaw npm có nguy cơ lộ thông tin

Tin tức ME, vào ngày 31 tháng 3 (UTC+8), tính đến ngày 31 tháng 3 năm 2026, theo thông tin công khai thì axios@1.14.1 và axios@0.30.4 đã được xác nhận là các phiên bản độc hại. Cả hai đều bị cấy thêm phần phụ thuộc plain-crypto-js@4.2.1, phần phụ thuộc này có thể triển khai tải trọng độc hại đa nền tảng thông qua script postinstall. Sự kiện này ảnh hưởng đến OpenClaw cần đánh giá theo từng kịch bản: 1) Kịch bản xây dựng từ mã nguồn: không bị ảnh hưởng Tệp khóa v2026.3.28 thực tế khóa axios@1.13.5 / 1.13.6, không trúng các phiên bản độc hại. 2) Kịch bản npm install -g openclaw@2026.3.28: có rủi ro phơi nhiễm trong quá khứ. Lý do là trong chuỗi phụ thuộc có: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Trong khoảng thời gian phiên bản độc hại vẫn còn hoạt động trực tuyến, có thể bị phân giải tới axios@1.14.1. 3) Kết quả cài đặt lại hiện tại: npm đã quay lui phân giải về axios@1.14.0 nhưng trong các môi trường đã cài đặt trong cửa sổ tấn công, vẫn được khuyến nghị xử lý theo kịch bản bị ảnh hưởng và kiểm tra IoC. Ngoài ra, SlowMist nhắc nhở rằng nếu phát hiện thư mục plain-crypto-js tồn tại, dù package.json bên trong đã bị dọn sạch, cũng nên coi đó là dấu vết thực thi có rủi ro cao. Đối với các máy chủ đã thực thi npm install hoặc npm install -g openclaw@2026.3.28 trong cửa sổ tấn công, nên thay đổi ngay thông tin xác thực (credential) và tiến hành rà soát phía máy chủ. (Nguồn: ODAILY)