紧急安全提醒:OpenClaw也受Axios供应链投毒影响 请用户立即检查
紧急安全提醒:OpenClaw AI 机器人项目也受 Axios 供应链攻击影响,建议部署机器人的用户立即进行排查。可以参考余弦老师编写的提示词,将提示词发给 OpenClaw,如果找到相关特征则代表环境已经被入侵,建议立即轮换各类密钥以及重装系统或环境。提示词:https://ourl.co/112418
前文蓝点网提到知名 HTTP 客户端库 Axios 遭到黑客攻击,黑客通过未知方式劫持开发者在 NPM 平台的账号,随后发布恶意版本用来安装远程访问木马。
黑客的操作方法是修改 Axios 库隐秘增加新的依赖库,新增的这个依赖库则是黑客创建的恶意组件,因此用户在执行 NPM 安装或更新操作时都可能被自动安装这个恶意库。
OpenClaw AI 机器人项目也同样使用 Axios 开源库,所以如果你在 3 月 31 日前后执行过安装或更新操作,则也可能被安装远程访问木马,建议用户立即进行排查。
可将下面的提示词发给你的机器人:(来自 @余弦)
Check for the malicious axios versions in your project:
npm list axios 2>/dev/null | grep -E "1.14.1|0.30.4"
grep -A1 '"axios"' package-lock.json | grep -E "1.14.1|0.30.4"
Check for plain-crypto-js in node_modules:
ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED"
If setup.js already ran, package.jsoninside this directory will have been replaced with a clean stub. The presence of the directory is sufficient evidence the dropper executed.
Check for RAT artifacts on affected systems:
macOS:
ls -la /Library/Caches/com.apple.act.mond 2>/dev/null && echo "COMPROMISED"
Linux:
ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED"
"COMPROMISED"
OpenClaw AI 机器人会按照上述提示词指令对系统进行检查,如果找到相关特征则代表系统可能已经被入侵,此时用户应当轮换所有安全密钥确保安全。
如果可以建议用户直接将受影响的环境重新部署,同时将所有密钥轮换,这样应该可以显著提升安全性。
黑客的操作方法是修改 Axios 库隐秘增加新的依赖库,新增的这个依赖库则是黑客创建的恶意组件,因此用户在执行 NPM 安装或更新操作时都可能被自动安装这个恶意库。
OpenClaw AI 机器人项目也同样使用 Axios 开源库,所以如果你在 3 月 31 日前后执行过安装或更新操作,则也可能被安装远程访问木马,建议用户立即进行排查。
可将下面的提示词发给你的机器人:(来自 @余弦)
Check for the malicious axios versions in your project:
npm list axios 2>/dev/null | grep -E "1.14.1|0.30.4"
grep -A1 '"axios"' package-lock.json | grep -E "1.14.1|0.30.4"
Check for plain-crypto-js in node_modules:
ls node_modules/plain-crypto-js 2>/dev/null && echo "POTENTIALLY AFFECTED"
If setup.js already ran, package.jsoninside this directory will have been replaced with a clean stub. The presence of the directory is sufficient evidence the dropper executed.
Check for RAT artifacts on affected systems:
macOS:
ls -la /Library/Caches/com.apple.act.mond 2>/dev/null && echo "COMPROMISED"
Linux:
ls -la /tmp/ld.py 2>/dev/null && echo "COMPROMISED"
"COMPROMISED"
OpenClaw AI 机器人会按照上述提示词指令对系统进行检查,如果找到相关特征则代表系统可能已经被入侵,此时用户应当轮换所有安全密钥确保安全。
如果可以建议用户直接将受影响的环境重新部署,同时将所有密钥轮换,这样应该可以显著提升安全性。
关于作者
评论0次