openclaw 🦞 被投毒

🚨所有养虾人/Claude Code用户，立刻自查！
最近48小时跑过 `npm install` 的
都给我看过来👇
━━━━━━━━━━━━━━
💀 **axios 被投毒了**
两个带毒版本：
- `axios@1.14.1`
- `axios@0.30.4`
不是普通漏洞
是攻击者劫持官方账号发包
**一安装就可能中招**
━━━━━━━━━━━━━━
⚠️ **最危险的是**
你不需要手动装axios
只要最近跑过：
- `npm install -g openclaw`
- `npm install`
- 任何npm装依赖的命令
它就可能作为**底层依赖**
悄悄溜进你的机器
━━━━━━━━━━━━━━
🎯 **它会干什么？**
带毒版本会额外落一个木马
叫 `plain-crypto-js`
安装阶段自动执行
Win / Mac / Linux 通杀
它会扫描你机器里的：
- 环境变量
- API Key
- SSH 密钥
- `.env` 文件
- 浏览器Cookie
如果你电脑里放了**生产密钥、云凭证、Git凭证**
那就不是小事了💣
━━━━━━━━━━━━━━
🔍 **立刻自查**
**1. 查全局环境**
```bash
npm ls -g axios
npm ls -g plain-crypto-js
```
**2. 查本地锁文件**
Mac / Linux：
```bash
grep -r "plain-crypto-js" . --include="*lock*"
```
Windows PowerShell：
```powershell
Get-ChildItem -Recurse -Include *lock* | Select-String -Pattern "plain-crypto-js"
```
━━━━━━━━━━━━━━
🆘 **查到就别犹豫，按中招处理**
1️⃣ 断网
2️⃣ 换安全设备，重置所有密钥 / token / SSH / 密码
3️⃣ 删除污染项目的 `node_modules` 和 `package-lock.json`
4️⃣ 把axios锁回安全版本，再重装
━━━━━━━━━━━━━━
✅ **clawx用户不用慌**
我们已经锁版本了
目前不受这次事件影响
但其他养虾的
别觉得自己“不懂技术就不用看”
你只要跑过 `npm install`
就应该**马上自查**
安全无小事
转发给你的虾友👇
#OpenClaw #供应链攻击 #axios投毒 #npm安全 #养虾人注意