SlowMist: Atenção à verificação de versões maliciosas do axios 1.14.1 / 0.30.4 e ao risco de exposição na instalação global do npm do histórico do OpenClaw

Notícias ME sobre a mensagem de 31 de março (UTC+8). Até 31 de março de 2026, as informações públicas disponíveis indicam que [email protected] e [email protected] foram confirmadas como versões maliciosas. Ambas foram infetadas com uma dependência adicional [email protected]; esta dependência pode entregar payloads maliciosos multiplataforma através de um script postinstall. O impacto deste incidente no OpenClaw deve ser avaliado por cenários: 1) Cenário de compilação a partir do código-fonte: não é afetado. O ficheiro de bloqueio real para v2026.3.28 bloqueia [email protected] / 1.13.6 e não atinge as versões maliciosas. 2) Cenário de execução de npm install -g [email protected]: existe risco de exposição histórica. A razão é que na cadeia de dependências existe: openclaw -> @line/[email protected] -> optionalDependencies.axios@^1.7.4. Dentro da janela de tempo em que as versões maliciosas ainda estavam online, poderá ser analisado para [email protected]. 3) Resultado da reinstalação atual: o npm reverteu a resolução para [email protected], mas, em ambientes que instalaram durante a janela de ataque, recomenda-se ainda tratar o caso como afetado e verificar IoC. Além disso, SlowMist indica que, se for detetada a existência do diretório plain-crypto-js, mesmo que o package.json nele tenha sido limpo, deve ser considerado como indício de execução de alto risco. Para hosts que tenham executado npm install ou npm install -g [email protected] durante a janela de ataque, recomenda-se imediatamente a rotação de credenciais e a realização de verificação no lado do host. (Fonte: ODAILY)