惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
L
Lohrmann on Cybersecurity
aimingoo的专栏
aimingoo的专栏
V
V2EX
S
Security Affairs
T
Threatpost
C
CXSECURITY Database RSS Feed - CXSecurity.com
IT之家
IT之家
J
Java Code Geeks
The Register - Security
The Register - Security
U
Unit 42
C
CERT Recently Published Vulnerability Notes
月光博客
月光博客
A
About on SuperTechFans
H
Hackread – Cybersecurity News, Data Breaches, AI and More
T
The Blog of Author Tim Ferriss
Cisco Talos Blog
Cisco Talos Blog
Project Zero
Project Zero
S
Schneier on Security
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
D
DataBreaches.Net
博客园 - 司徒正美
V
Vulnerabilities – Threatpost
T
Tor Project blog
Security Latest
Security Latest
T
The Exploit Database - CXSecurity.com
T
Threat Research - Cisco Blogs
Scott Helme
Scott Helme
Application and Cybersecurity Blog
Application and Cybersecurity Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
M
MIT News - Artificial intelligence
云风的 BLOG
云风的 BLOG
小众软件
小众软件
L
LangChain Blog
Attack and Defense Labs
Attack and Defense Labs
Recent Commits to openclaw:main
Recent Commits to openclaw:main
P
Palo Alto Networks Blog
A
Arctic Wolf
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
C
Cyber Attacks, Cyber Crime and Cyber Security
博客园 - 叶小钗
D
Darknet – Hacking Tools, Hacker News & Cyber Security
L
LINUX DO - 最新话题
MongoDB | Blog
MongoDB | Blog
Webroot Blog
Webroot Blog
H
Hacker News: Front Page
Know Your Adversary
Know Your Adversary
Spread Privacy
Spread Privacy
AWS News Blog
AWS News Blog
Engineering at Meta
Engineering at Meta

看川博客

我被 AI "蒸馏" 了 - 看川博客 距离上线只差一个软件著作权证书 - 看川博客 开发简报(2):开发者需要先进的工具 - 看川博客 比越狱更棘手!iOS vPhone 虚拟机成黑灰产新温床 - 看川博客 开发简报(1):拥抱 AI、别无选择 - 看川博客 今天你用了多少词元? - 看川博客 闪忆 LiveMem:把回忆做成会动的壁纸 - 看川博客 Swift 从 ObservableObject 迁移到 @Observable 的再讨论 视频帧截图(Video2Frame)专业视频抽帧截图工具 - 看川博客 录音记事本 - 专业安全的录音工具 App - 看川博客 Swift 从 ObservableObject 迁移到 @Observable 从 Apple Distribution Managed 证书提取备案所需公钥和 SHA1 条码助手 iOS 2.0.0 升级指南 - 看川博客 SwiftUI Menu checkmark 文本对齐 - 看川博客 C++ RTTI 信息对二进制体积和安全性的影响 - 看川博客 SwiftUI 系统颜色表查询 - 看川博客 读马伯庸《长安的荔枝》 - 看川博客 SwiftUI List selection 的使用提示 - 看川博客 PHP json_encode UTF-8 中文编码问题 - 看川博客 我为什么重新运营微信公众号 - 看川博客 使用 TrollStore(巨魔) 在非越狱设备上安装任意 IPA - 看川博客 条码助手小程序更新 - 看川博客 iOS 18 中 libdyld.dylib/dyld 的一些变化 涨粉神器?解密“抖音黑科技”云端商城 - 看川博客
糟糕!我的 OpenClaw 中了病毒 - 看川博客
2026-04-01 · via 看川博客

服务器运行了这么多年都没有中过病毒,没想到在更新 OpenClaw 时遭遇滑铁卢。现代软件的构建往往牵一发动全身,一个基础库的问题可能牵连下游无数依赖,真是防不胜防。

3 月 31 日上午,我像往常一样例行查看服务器状态,随便升级了下 OpenClaw 的版本到 2026.3.28,本来是一次再正常不过的升级,没想到刚升级不久,就收到了来自阿里云的短信、邮件及 APP 消息提醒:服务器出现了紧急安全事件 - 蠕虫病毒命令(第一次收到阿里云的安全报警,非常及时,点赞!)。我想着也没做什么危险的事情,以为是误报,就没有在意。

晚上我看到圈子里安全消息,才反应过来真的是结结实实地中了病毒。

事情大概是这样的

axios 是广泛使用的 JavaScript 网络库,是 JavaScript 生态最核心的依赖库之一。谁也没有料到就是这样一个重量级的基础库却在近期遭遇到了投毒。

攻击者用盗取来的 npm 维护者的账号,发布了[email protected][email protected] 两个投毒版本,这两个版本的 axios 依赖了 plain-crypto-js,这是攻击者精心准备的伪装成加密库的恶意代码,会在用户执行 npm install 时自动运行一段脚本,连接 sfrclak.com 并下载运行远控木马,影响包括了 Windows、Linux 及 macOS。

而正好 OpenClaw 的依赖关系中包含 axios。如果用户恰巧在风险时间窗口(有分析文章将这个时间精确到 2026-03-31 08:21 至 2026-03-31 11:15)执行了安装或升级 OpenClaw 的操作,那么极有可能安装到了恶意版本的 axios。而我正是在这个时间段操作的升级。

如何排查

Linux 服务器可以运行以下命令,查看依赖的 axios 版本:

find / -path "*/node_modules/axios/package.json" | xargs grep '"version": "1.14.1"\|"version": "0.30.4"'

如果有打印结果,证明已经被感染了。

需要完全删除 node_modules/axios,并强制将 package.json 中依赖的 axios 版本修改为 1.13.6。

或者直接升级到最新版本的 OpenClaw,OpenClaw v2026.3.31 已经在 openclaw/package.json 中将 axios 版本固定设置为 1.13.6。

保险起见,还是要检查下本地是否有病毒残留:

find / -path "*/plain-crypto-js" # 如果有结果打印,将所有目录全部删除
rm /tmp/ld.py

强烈建议排查下中招的机器中存储的各类账户、Token 等敏感信息是否需要变更。

脆弱的软件生态

人们已经习惯享受 AI 带来的便捷和效率,却很少有意识到构建 AI 的软件设施其实是非常脆弱的。像这次的这种大的供应链投毒事件已经发生过多次,未来肯定还会继续发生,令人防不胜防。

为了自身的数据和隐私安全,一定要在隔离环境中体验 OpenClaw。这次也算是一个教训,以后更新升级软件时,记得提前到项目方查看下消息,等版本稳定后再升级。