슬로우미스트, 악성 axios 버전·OpenClaw 전역 설치 이력 점검 권고

슬로우미스트는 공개 정보 기준 axios 1.14.1과 0.30.4가 악성 버전으로 확인됐다고 밝혔다. 두 버전에는 plain-crypto-js 4.2.1이 추가 의존성으로 삽입됐고, postinstall 스크립트를 통해 크로스플랫폼 악성 페이로드를 배포할 수 있는 것으로 파악됐다.

Odaily에 따르면 이번 사안은 OpenClaw 사용 방식에 따라 영향이 다르다. 소스코드 빌드 환경은 v2026.3.28의 잠금 파일이 axios 1.13.5 또는 1.13.6에 고정돼 있어 악성 버전에 직접 노출되지 않은 것으로 분석됐다.

반면 npm install -g openclaw@2026.3.28 방식으로 전역 설치한 경우에는 과거 노출 가능성이 제기됐다. 의존성 체인상 openclaw에서 @line/bot-sdk 10.6.0을 거쳐 optionalDependencies의 axios@^1.7.4를 참조하는데, 악성 버전이 배포돼 있던 시간대에는 axios 1.14.1로 해석됐을 수 있다는 설명이다.

현재 재설치 시에는 npm 해석 결과가 axios 1.14.0으로 되돌아간 상태다. 다만 공격이 이뤄진 시간대에 설치를 진행한 환경은 여전히 영향 가능성이 있어 침해 환경으로 간주하고 점검해야 한다고 슬로우미스트는 강조했다.

아울러 시스템에서 plain-crypto-js 디렉터리가 확인되면 package.json이 이미 정리된 상태라도 고위험 실행 흔적으로 봐야 한다고 덧붙였다. 슬로우미스트는 해당 기간 중 npm install 또는 npm install -g openclaw@2026.3.28를 실행한 호스트에 대해 즉시 자격 증명을 교체하고 호스트 측 포렌식 및 IoC 점검을 진행할 것을 권고했다.