自选
我的自选
查看全部
市值 价格 24h%
SVG Image
  • 全部
  • 产业
  • Web 3.0
  • DAO
  • DeFi
  • 符文
  • 空投再质押
  • 以太坊
  • Meme
  • 比特币L2
  • 以太坊L2
  • 研报
  • 头条
  • 投资
0.00% 100.00%
利好
利空

热门币种

更多

免责声明:内容不构成买卖依据,投资有风险,入市需谨慎!

慢雾科技建议检查恶意axios版本及OpenClaw全局安装记录

2026-03-31 18:46:27
收藏

恶意版本确认

据确认,axios 1.14.1 和 0.30.4 版本被认定为恶意版本。这两个版本被额外植入了plain-crypto-js 4.2.1作为依赖项,并可通过安装后脚本部署跨平台恶意负载。

不同安装方式的影响差异

根据分析,此事件的影响因使用方式而异。源代码构建环境因锁定文件固定使用axios 1.13.5或1.13.6版本,被认为未直接暴露于恶意版本。

然而,若曾通过全局安装命令安装特定版本,则存在历史暴露风险。依赖链显示其通过相关包最终引用了axios的特定版本,在恶意版本发布的时间段内,可能被解析为恶意的1.14.1版本。

目前重新安装时,解析结果已恢复至axios 1.14.0。但强调在攻击发生的时间段内执行过安装的环境,仍存在受影响可能,应视为潜在入侵环境进行检查。

建议应对措施

此外,若在系统中发现plain-crypto-js目录,即使相关配置文件已清理,仍应将其视为高风险执行痕迹。建议在此期间执行过相关安装命令的主机,立即更换凭证,并开展主机取证及入侵指标检查。

展开阅读全文
更多新闻