全球每週下載量破億次的知名 HTTP 請求庫 `axios` 於今日（3/31）爆發嚴重供應鏈攻擊。攻擊者駭入 […] 〈快讓你的 OpenClaw 小龍蝦清查！余弦發布「axios 排毒」指令，確保徹底清除潛伏木馬〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。全球每週下載量破億次的知名 HTTP 請求庫 `axios` 於今日（3/31）爆發嚴重供應鏈攻擊。攻擊者駭入 […] 〈快讓你的 OpenClaw 小龍蝦清查！余弦發布「axios 排毒」指令，確保徹底清除潛伏木馬〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。

快讓你的 OpenClaw 小龍蝦清查！余弦發布「axios 排毒」指令，確保徹底清除潛伏木馬

來源：Blocktempo ZH

2026/03/31 23:52

閱讀時長 6 分鐘

如需對本內容提供反饋或相關疑問，請通過郵箱 crypto.news@mexc.com 聯絡我們。

全球每週下載量破億次的知名 HTTP 請求庫 `axios` 於今日（3/31）爆發嚴重供應鏈攻擊。攻擊者駭入維護者帳號並發布惡意版本 `1.14.1` 及 `0.30.4`，透過隱藏依賴 `plain-crypto-js` 植入跨平台木馬。慢霧科技創辦人余弦（@evilcos）對此發布緊急排查指南，呼籲所有開發者與 AI Agent 使用者立刻執行系統掃描，確保未被遠端控制。（前情提要：OpenClaw「小龍蝦」爆雙重危機！axios 供應鏈藏投毒後門、MEDIA 漏洞波及全球 17 萬案例）（背景補充：小龍蝦 OpenClaw 爆紅成「駭客提款機」！官網遭像素級複製洗劫 Web3 錢包） JavaScript 生態系今日遭遇 2026 年以來最嚴重的安全打擊。知名 HTTP 請求庫 `axios` 的主要維護者帳號（jasonsaayman）遭駭客攻破，並於今日凌晨發布了兩款「帶毒」版本。由於 `axios` 是眾多 Web 應用、後端系統乃至近期火熱的 AI Agent（如 OpenClaw）的核心底層依賴，此事件影響範圍極廣。投毒機制：隱藏在 package.json 中的木馬據監測，攻擊者發布了 axios@1.14.1 與 axios@0.30.4 兩個版本。這些版本並未修改 axios 原始碼，而是新增了一個惡意依賴 plain-crypto-js@4.2.1。一旦用戶執行 npm install，該惡意模組會透過 postinstall 腳本下載跨平台遠端存取木馬（RAT），針對 macOS、Linux、Windows 進行系統資訊收集與遠端控制。令人注意的是，該木馬具備強大的自我掩護能力，執行後會清除腳本痕跡。對此，慢霧科技（SlowMist）創辦人余弦（@evilcos）在 X 平台緊急發文，提供了一套針對開發者與 AI Agents 的排查指令。余弦（Cos）緊急排查指南余弦建議，無論是手動開發的專案，還是正在運行的 AI Agents（如 OpenClaw 3.28 等），都應立即針對以下路徑進行全面清查： 1. 檢查是否安裝惡意 axios 版本 npm list axios 2>/dev/null | grep -E "1\.14\.1|0\.30\.4" grep -A1 '"axios"' package-lock.json | grep -E "1\.14\.1|0\.30\.4" 2. 檢測惡意依賴目錄即便 package.json 看起來乾淨，只要目錄存在，即代表 dropper 已執行過： ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED" 3. 系統殘留物掃描（若顯示 COMPROMISED 代表已中毒） macOS: ls -la /Library/Caches/com.apple.act.mond 2>/dev/null && echo "COMPROMISED" Linux: ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED" Windows (cmd): dir "%PROGRAMDATA%\wt.exe" 2>nul && echo COMPROMISED 建议给你的 Agents（包括 OpenClaw）都投喂如下提示词，好好排查下是否存在这波 axios 被投毒事件影响：参考下面这个方法排查一遍我们的环境是否存在被投毒的 axios@1.14.1 与 axios@0.30.4，及恶意模块 plain-crypto-js，不能漏，确保排查全面：Check for the malicious axios versions in your… https://t.co/wbysboDfr7 — Cos(余弦) (@evilcos) March 31, 2026 AI Agent 成重災區？專家提醒：需投餵提示詞余弦特別強調，目前的 AI Agent（例如 OpenClaw）通常會自動更新依賴，極容易在不知情的情況下抓取到這兩小時窗口內的帶毒版本。他建議用戶應主動向自己的 Agents 「投餵」上述排查提示詞，讓機器人自我掃描環境安全性。目前 npm 官方雖已迅速移除惡意版本，但對於已經完成安裝的系統，風險依然存在。安全專家提醒，若發現系統已被「COMPROMISED」，應立即更換所有 API Key（包括 OpenAI、交易所 API 等）、撤銷現有憑證，並考慮重裝系統以徹底清除潛伏木馬。相關報導小龍蝦 OpenClaw 進化！官方發布 v2026.3.22 更新：上線 ClawHub 插件市場、全面支援 GPT-5.4… 小龍蝦炒股票一天虧3萬！網友神回覆：你自己操也會虧、省了你很多時間 10年恩怨：如果OpenAI不曾虛偽，就沒有Anthropic的強大〈快讓你的 OpenClaw 小龍蝦清查！余弦發布「axios 排毒」指令，確保徹底清除潛伏木馬〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。

免責聲明: 本網站轉載的文章均來源於公開平台，僅供參考。這些文章不代表 MEXC 的觀點或意見。所有版權歸原作者所有。如果您認為任何轉載文章侵犯了第三方權利，請聯絡 crypto.news@mexc.com 以便將其刪除。MEXC 不對轉載文章的及時性、準確性或完整性作出任何陳述或保證，並且不對基於此類內容所採取的任何行動或決定承擔責任。轉載材料僅供參考，不構成任何商業、金融、法律和/或稅務決策的建議、認可或依據。