Alerte SlowMist : la version malveillante d’axios 1.14.1 / 0.30.4 présente des risques de sécurité. Il est recommandé de vérifier et de faire tourner les identifiants.

Nouvelles de Gate News, 31 mars, l’équipe de sécurité SlowMist a publié une alerte ; au 31 mars 2026, les renseignements publics indiquent qu’axios@1.14.1 et axios@0.30.4 ont été confirmées comme étant des versions malveillantes. Les deux ont été infectées avec une dépendance supplémentaire plain-crypto-js@4.2.1 ; cette dépendance peut déployer des charges utiles malveillantes multi-plateformes via un script postinstall.

L’impact de cet incident sur openclaw doit être évalué selon des scénarios distincts : 1）Le scénario de compilation du code source n’est pas affecté ; le fichier de verrouillage de v2026.3.28 verrouille effectivement axios@1.13.5 / 1.13.6, sans viser les versions malveillantes ; 2）Le scénario npm install -g openclaw@2026.3.28 présente un risque d’exposition historique, car la chaîne de dépendances contient openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Dans la fenêtre temporelle où les versions malveillantes restent encore en ligne, il est possible qu’elles soient résolues vers axios@1.14.1 ; 3）Les résultats de réinstallation actuels indiquent que npm a rétrogradé la résolution vers axios@1.14.0, mais dans les environnements où l’installation a eu lieu pendant la fenêtre d’attaque, il est toujours recommandé de traiter selon les scénarios affectés et de vérifier les IoC.

SlowMist signale que, si le répertoire plain-crypto-js existe, même si son package.json a été nettoyé, il faut le considérer comme une trace d’exécution à haut risque. Pour les hôtes ayant exécuté npm install ou npm install -g openclaw@2026.3.28 pendant la fenêtre d’attaque, il est recommandé de faire immédiatement une rotation des identifiants et de mener une enquête côté hôte.