Recordatorio de Neblina: La versión maliciosa de axios 1.14.1 / 0.30.4 presenta riesgos de seguridad; se recomienda revisar y rotar las credenciales

Noticias de Gate News, el 31 de marzo, el equipo de seguridad de SlowMist emitió una alerta; a fecha del 31 de marzo de 2026, la información pública indica que axios@1.14.1 y axios@0.30.4 ya han sido confirmadas como versiones maliciosas. Ambas versiones fueron inyectadas con una dependencia adicional, plain-crypto-js@4.2.1; esta dependencia puede desplegar cargas útiles maliciosas multiplataforma a través de un script postinstall.

El impacto de este incidente en OpenClaw debe evaluarse por escenarios: 1) El escenario de construcción desde el código fuente no se ve afectado; el archivo lock de v2026.3.28 realmente bloquea axios@1.13.5 / 1.13.6, por lo que no se detectan versiones maliciosas; 2) En el escenario de ejecutar npm install -g openclaw@2026.3.28 existe riesgo histórico de exposición, debido a que en la cadena de dependencias hay openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4; dentro de la ventana temporal en la que las versiones maliciosas seguían estando disponibles en línea, es posible que se resuelva a axios@1.14.1; 3) Los resultados de la reinstalación actual muestran que npm ha revertido la resolución a axios@1.14.0, pero en los entornos en los que se instaló durante la ventana del ataque, aún se recomienda tratarlo como un escenario afectado y realizar la comprobación de IoC.

SlowMist advierte que, si se encuentra el directorio plain-crypto-js, aunque en su interior se haya limpiado el package.json, debe considerarse como una evidencia de ejecución de alto riesgo. Para los hosts en los que se haya ejecutado npm install o npm install -g openclaw@2026.3.28 dentro de la ventana del ataque, se recomienda rotar credenciales de inmediato y llevar a cabo una investigación en el lado del host.