SlowMist: Lưu ý kiểm tra phiên bản độc hại axios 1.14.1 / 0.30.4 và rủi ro phơi nhiễm lịch sử cài đặt toàn cục npm OpenClaw

Odaily Tin tức tính đến ngày 31 tháng 3 năm 2026, thông tin tình báo công khai cho thấy axios@1.14.1 và axios@0.30.4 đã được xác nhận là các phiên bản độc hại. Cả hai đều bị cấy thêm dependency plain-crypto-js@4.2.1, dependency này có thể phân phối payload độc hại đa nền tảng thông qua script postinstall.

Tác động của sự kiện này đối với OpenClaw cần được đánh giá theo từng kịch bản:

1) Kịch bản build từ source code: Không bị ảnh hưởng

File lock v2026.3.28 thực tế khóa axios@1.13.5 / 1.13.6, không trúng vào phiên bản độc hại.

2) Kịch bản npm install -g openclaw@2026.3.28: Tồn tại rủi ro phơi nhiễm lịch sử

Lý do là trong chuỗi dependency tồn tại: openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Trong khoảng thời gian cửa sổ mà phiên bản độc hại vẫn còn trực tuyến, có thể đã được phân giải thành axios@1.14.1.

3) Kết quả cài đặt lại hiện tại: npm đã rollback phân giải về axios@1.14.0

Tuy nhiên, đối với các môi trường đã cài đặt trong cửa sổ tấn công, vẫn khuyến nghị xử lý như kịch bản bị ảnh hưởng và kiểm tra các IoC.

Ngoài ra, SlowMist cảnh báo rằng nếu phát hiện thư mục plain-crypto-js tồn tại, ngay cả khi package.json trong đó đã được dọn dẹp, vẫn nên được coi là dấu vết thực thi rủi ro cao. Đối với các máy chủ đã thực thi npm install hoặc npm install -g openclaw@2026.3.28 trong cửa sổ tấn công, khuyến nghị ngay lập tức luân chuyển thông tin xác thực và tiến hành kiểm tra phía máy chủ.