全球每週下載量破億次的知名 HTTP 請求庫 `axios` 於今日(3/31)爆發嚴重供應鏈攻擊。攻擊者駭入 […] 〈快讓你的 OpenClaw 小龍蝦清查!余弦發布「axios 排毒」指令,確保徹底清除潛伏木馬〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。全球每週下載量破億次的知名 HTTP 請求庫 `axios` 於今日(3/31)爆發嚴重供應鏈攻擊。攻擊者駭入 […] 〈快讓你的 OpenClaw 小龍蝦清查!余弦發布「axios 排毒」指令,確保徹底清除潛伏木馬〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。
快讓你的 OpenClaw 小龍蝦清查!余弦發布「axios 排毒」指令,確保徹底清除潛伏木馬
如需對本內容提供反饋或相關疑問,請通過郵箱 crypto.news@mexc.com 聯絡我們。
全球每週下載量破億次的知名 HTTP 請求庫 `axios` 於今日(3/31)爆發嚴重供應鏈攻擊。攻擊者駭入維護者帳號並發布惡意版本 `1.14.1` 及 `0.30.4`,透過隱藏依賴 `plain-crypto-js` 植入跨平台木馬。慢霧科技創辦人余弦(@evilcos)對此發布緊急排查指南,呼籲所有開發者與 AI Agent 使用者立刻執行系統掃描,確保未被遠端控制。 (前情提要:OpenClaw「小龍蝦」爆雙重危機!axios 供應鏈藏投毒後門、MEDIA 漏洞波及全球 17 萬案例) (背景補充:小龍蝦 OpenClaw 爆紅成「駭客提款機」!官網遭像素級複製洗劫 Web3 錢包) JavaScript 生態系今日遭遇 2026 年以來最嚴重的安全打擊。知名 HTTP 請求庫 `axios` 的主要維護者帳號(jasonsaayman)遭駭客攻破,並於今日凌晨發布了兩款「帶毒」版本。由於 `axios` 是眾多 Web 應用、後端系統乃至近期火熱的 AI Agent(如 OpenClaw)的核心底層依賴,此事件影響範圍極廣。 投毒機制:隱藏在 package.json 中的木馬 據監測,攻擊者發布了 axios@1.14.1 與 axios@0.30.4 兩個版本。這些版本並未修改 axios 原始碼,而是新增了一個惡意依賴 plain-crypto-js@4.2.1。一旦用戶執行 npm install,該惡意模組會透過 postinstall 腳本下載跨平台遠端存取木馬(RAT),針對 macOS、Linux、Windows 進行系統資訊收集與遠端控制。 令人注意的是,該木馬具備強大的自我掩護能力,執行後會清除腳本痕跡。對此,慢霧科技(SlowMist)創辦人余弦(@evilcos)在 X 平台緊急發文,提供了一套針對開發者與 AI Agents 的排查指令。 余弦(Cos)緊急排查指南 余弦建議,無論是手動開發的專案,還是正在運行的 AI Agents(如 OpenClaw 3.28 等),都應立即針對以下路徑進行全面清查: 1. 檢查是否安裝惡意 axios 版本 npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4" grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4" 2. 檢測惡意依賴目錄 即便 package.json 看起來乾淨,只要目錄存在,即代表 dropper 已執行過: ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED" 3. 系統殘留物掃描(若顯示 COMPROMISED 代表已中毒) macOS: ls -la /Library/Caches/com.apple.act.mond 2>/dev/null && echo "COMPROMISED" Linux: ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED" Windows (cmd): dir "%PROGRAMDATA%\wt.exe" 2>nul && echo COMPROMISED 建议给你的 Agents(包括 OpenClaw)都投喂如下提示词,好好排查下是否存在这波 axios 被投毒事件影响: 参考下面这个方法排查一遍我们的环境是否存在被投毒的 axios@1.14.1 与 axios@0.30.4,及恶意模块 plain-crypto-js,不能漏,确保排查全面:Check for the malicious axios versions in your… https://t.co/wbysboDfr7 — Cos(余弦) (@evilcos) March 31, 2026 AI Agent 成重災區?專家提醒:需投餵提示詞 余弦特別強調,目前的 AI Agent(例如 OpenClaw)通常會自動更新依賴,極容易在不知情的情況下抓取到這兩小時窗口內的帶毒版本。他建議用戶應主動向自己的 Agents 「投餵」上述排查提示詞,讓機器人自我掃描環境安全性。 目前 npm 官方雖已迅速移除惡意版本,但對於已經完成安裝的系統,風險依然存在。安全專家提醒,若發現系統已被「COMPROMISED」,應立即更換所有 API Key(包括 OpenAI、交易所 API 等)、撤銷現有憑證,並考慮重裝系統以徹底清除潛伏木馬。 相關報導 小龍蝦 OpenClaw 進化!官方發布 v2026.3.22 更新:上線 ClawHub 插件市場、全面支援 GPT-5.4… 小龍蝦炒股票一天虧3萬!網友神回覆:你自己操也會虧、省了你很多時間 10年恩怨:如果OpenAI不曾虛偽,就沒有Anthropic的強大〈快讓你的 OpenClaw 小龍蝦清查!余弦發布「axios 排毒」指令,確保徹底清除潛伏木馬〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。
免責聲明: 本網站轉載的文章均來源於公開平台,僅供參考。這些文章不代表 MEXC 的觀點或意見。所有版權歸原作者所有。如果您認為任何轉載文章侵犯了第三方權利,請聯絡 crypto.news@mexc.com 以便將其刪除。MEXC 不對轉載文章的及時性、準確性或完整性作出任何陳述或保證,並且不對基於此類內容所採取的任何行動或決定承擔責任。轉載材料僅供參考,不構成任何商業、金融、法律和/或稅務決策的建議、認可或依據。
您可能也會喜歡
Cardano 巨鯨是否知道我們不知道的事?
《Cardano 鯨魚是否知道我們不知道的事情?》一文發表於 BitcoinEthereumNews.com。首頁 » Crypto Bits 查看哪些因素暗示 ADA 可能即將前往
分享
BitcoinEthereumNews2026/04/01 01:10
如何在 2026 年登上 Business Insider
快速解答:在2026年登上Business Insider的最快方式是透過BrandPush進行新聞稿發布,該平台可在Business Insider上發布內容
分享
Techbullion2026/04/01 01:35
比特幣突破 6.8 萬、以太坊衝破 2100 美元!全網爆倉破 3.3 億美元,幣安合約客慘虧千萬
加密貨幣市場在 4 月伊始迎來劇烈波動!台灣時間 4 月 1 日凌晨,比特幣(BTC)強勢突破 68,000 […] 〈比特幣突破 6.8 萬、以太坊衝破 2100 美元!全網爆倉破 3.3 億美元,幣安合約客慘虧千萬〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。
分享
Blocktempo ZH2026/04/01 00:55
