Gate News 消息,3 月 31 日,慢雾安全团队发布预警,截至 2026 年 3 月 31 日,公开情报显示 axios@1.14.1 与 axios@0.30.4 已被确认为恶意版本。两者均被植入额外依赖 plain-crypto-js@4.2.1,该依赖可通过 postinstall 脚本投递跨平台恶意载荷。
该事件对 OpenClaw 的影响需分场景判断:1)源码构建场景不受影响,v2026.3.28 锁文件实际锁定的是 axios@1.13.5 / 1.13.6,未命中恶意版本;2)npm install -g openclaw@2026.3.28 场景存在历史暴露风险,原因是依赖链中存在 openclaw -> @line/bot-sdk@10.6.0 -> optionalDependencies.axios@^1.7.4,在恶意版本仍在线的时间窗口内,可能被解析到 axios@1.14.1;3)当前重新安装结果显示,npm 已回退解析到 axios@1.14.0,但在攻击窗口内安装过的环境,仍建议按受影响场景处理并排查 IoC。
慢雾提示,若发现 plain-crypto-js 目录存在,即使其中 package.json 已被清理,也应视为高风险执行痕迹。对攻击窗口内执行过 npm install 或 npm install -g openclaw@2026.3.28 的主机,建议立即轮换凭据并开展主机侧排查。
免责声明:本页面信息可能来自第三方,不代表 Gate 的观点或意见。页面显示的内容仅供参考,不构成任何财务、投资或法律建议。Gate 对信息的准确性、完整性不作保证,对因使用本信息而产生的任何损失不承担责任。虚拟资产投资属高风险行为,价格波动剧烈,您可能损失全部投资本金。请充分了解相关风险,并根据自身财务状况和风险承受能力谨慎决策。具体内容详见
声明。
相关文章
1inch 流动性提供商 TrustedVolumes 遭入侵:670 万美元被盗、旧攻击者重出江湖
1inch 流动性提供商 TrustedVolumes 于 5 月 7 日遭黑客攻击,损失约 670 万美元。攻击者通过其自家 RFQ 代理合约的公开函数注册为“授权订单签署者”,利用既有的 token approvals 从用户钱包转走资金,未触及 1inch 核心合约与用户资金。建议 DeFi 用户定期撤销不再使用的 token approvals。
鏈新聞abmedia25 分钟前
Aave 在 $293M KelpDAO 被利用之后重写资产上架标准,增加安全审查
据 CoinDesk 称,Aave Labs 于 5 月 7 日宣布,它将重写资产上架与抵押风险标准,以在现有的价格和波动率评估之外,增加对互操作性、网络安全以及底层架构的审查。此次改造是在 4 月对 KelpDAO 的跨
GateNews45 分钟前
$20M “宰猪式”诈骗受害者对花旗银行提起诉讼
Michael Zidell 在曼哈顿联邦法院起诉 Citibank,指控 $20M 在“猪肉饲养”(pig butchering)转账案中涉嫌,并称其 AML(反洗钱)疏忽与忽略警示。
摘要:本文描述 Michael Zidell 在曼哈顿联邦法院对 Citibank 提起的诉讼,指控其疏忽的 AML 控制使得 2000 万美元得以通过与 Carolyn Parker 和 Guju Inc 相关联的账户发送给“猪肉饲养”诈骗者。文章将此案置于加密诈骗不断上升以及系统性的法币-加密 AML 漏洞的背景之中。
Todayq News4小时前
2025年8月的加密货币黑客事件造成$163M 损失,涵盖16起事件——PeckShield
今年 8 月,16 起主要黑客攻击导致加密市场损失 1.63 亿美元,损失最高的是个人造成的 9,140 万美元,BtcTurk 损失 5,400 万美元。
2025 年 8 月的损失比今年 7 月损失的 1.4216 亿美元高 15%;在 6 月,集体损失
Todayq News4小时前
加州男子因 $250M 加密货币盗窃团伙被判处 6.5 年监禁
一名华盛顿特区的联邦法官于周三根据法院记录,判处 20 岁的加利福尼亚州居民 Marlon Ferro 入狱 78 个月,原因是他在一个犯罪网络中所扮演的角色。该网络从美国各地的受害者手中窃取了超过 2.5 亿美元的加密货币。Ferro 曾运营
Crypto Frontier5小时前
