Slow Mist: axios 악성 버전 1.14.1 / 0.30.4 및 OpenClaw npm 전역 설치 이력 노출 위험 점검 주의

Odaily 보도에 따르면, 2026년 3월 31일 기준 공개 정보에 따르면 axios@1.14.1과 axios@0.30.4가 악성 버전으로 확인되었습니다. 두 버전 모두 추가 종속성 plain-crypto-js@4.2.1이 삽입되어 있으며, 이 종속성은 postinstall 스크립트를 통해 크로스 플랫폼 악성 페이로드를 전달할 수 있습니다.

이 사건이 OpenClaw에 미치는 영향은 시나리오에 따라 판단해야 합니다:

1) 소스 코드 빌드 시나리오: 영향 없음

v2026.3.28 잠금 파일은 실제로 axios@1.13.5 / 1.13.6을 잠가두고 있어 악성 버전에 해당되지 않습니다.

2) npm install -g openclaw@2026.3.28 시나리오: 이력 노출 위험 존재

이유는 종속성 체인에 openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4가 존재하기 때문입니다. 악성 버전이 아직 온라인 상태였던 시간 창 내에 axios@1.14.1로 해석될 가능성이 있었습니다.

3) 현재 재설치 결과: npm이 axios@1.14.0으로 해석을 되돌렸습니다.

그러나 공격 창 내에 설치된 환경은 여전히 영향을 받는 시나리오로 처리하고 IoC를 점검하는 것이 좋습니다.

또한 Slow Mist는 plain-crypto-js 디렉토리가 발견된 경우, 그 안의 package.json이 이미 정리되었더라도 높은 위험의 실행 흔적으로 간주해야 한다고 경고합니다. 공격 창 내에 npm install 또는 npm install -g openclaw@2026.3.28을 실행한 호스트에 대해서는 즉시 자격 증명을 교체하고 호스트 측 점검을 수행할 것을 권장합니다.