Peringatan Misty Fog: Versi berbahaya axios 1.14.1 / 0.30.4 memiliki risiko keamanan, disarankan untuk memeriksa dan mengganti kredensial

Berita Gate News, pada tanggal 31 Maret, tim keamanan Mantis (Mist Fog) mengeluarkan peringatan. Hingga 31 Maret 2026, informasi publik menunjukkan bahwa axios@1.14.1 dan axios@0.30.4 telah dikonfirmasi sebagai versi berbahaya. Kedua versi tersebut telah disusupi dengan dependensi tambahan plain-crypto-js@4.2.1; dependensi ini dapat mengirimkan muatan berbahaya lintas platform melalui skrip postinstall.

Dampak insiden ini terhadap OpenClaw perlu dinilai per skenario: 1) skenario build dari kode sumber tidak terpengaruh; file kunci v2026.3.28 yang sebenarnya mengunci axios@1.13.5 / 1.13.6, sehingga tidak mengenai versi berbahaya; 2) skenario npm install -g openclaw@2026.3.28 memiliki risiko paparan historis, karena pada rantai dependensi terdapat openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4. Dalam jendela waktu ketika versi berbahaya masih tersedia online, kemungkinan dapat diurai menjadi axios@1.14.1; 3) hasil instal ulang saat ini menunjukkan bahwa npm telah mengembalikan resolusi ke axios@1.14.0, namun pada lingkungan yang sudah terpasang di dalam jendela serangan, tetap disarankan untuk memperlakukan sesuai skenario yang terdampak dan melakukan pemeriksaan IoC.

Mantis memperingatkan: jika ditemukan direktori plain-crypto-js, bahkan jika package.json di dalamnya telah dibersihkan, tetap harus dianggap sebagai jejak eksekusi berisiko tinggi. Untuk host yang menjalankan npm install atau npm install -g openclaw@2026.3.28 di dalam jendela serangan, disarankan segera melakukan rotasi kredensial dan menjalankan pemeriksaan sisi host.