Aviso de neblina lenta: a versão maliciosa do axios 1.14.1 / 0.30.4 apresenta riscos de segurança; recomenda-se verificar e fazer a rotação das credenciais

Notícias do Gate News, em 31 de março, a equipa de segurança SlowMist emitiu um alerta; até 31 de março de 2026, as informações públicas indicam que as versões axios@1.14.1 e axios@0.30.4 já foram confirmadas como versões maliciosas. Ambas foram inseridas com dependências adicionais plain-crypto-js@4.2.1, que pode entregar cargas maliciosas multiplataforma através de um script postinstall.

O impacto deste incidente na OpenClaw deve ser avaliado por cenários: 1) O cenário de construção a partir do código-fonte não é afetado; o ficheiro de bloqueio v2026.3.28 realmente bloqueia axios@1.13.5 / 1.13.6, não atingindo as versões maliciosas; 2) O cenário de npm install -g openclaw@2026.3.28 tem risco de exposição histórica, porque na cadeia de dependências existe openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4, e dentro da janela temporal em que a versão maliciosa ainda estava disponível online, poderá ser resolvida para axios@1.14.1; 3) O resultado da reinstalação atual mostra que o npm reverteu a resolução para axios@1.14.0, mas, nos ambientes onde foi instalada durante a janela de ataque, ainda é recomendado tratar como cenário afetado e efetuar verificação de IoC.

A SlowMist alerta: se for detetado que existe o diretório plain-crypto-js, mesmo que o package.json nele contido tenha sido limpo, deve ser tratado como indício de execução de alto risco. Para os anfitriões que executaram npm install ou npm install -g openclaw@2026.3.28 durante a janela de ataque, recomenda-se a substituição imediata das credenciais e a realização de uma verificação do lado do anfitrião.