En otro ataque más a la cadena de suministro de software, el asistente de codificación Cline CLI, impulsado por inteligencia artificial (IA), de código abierto, se actualizó para instalar en secreto OpenClaw, un agente autónomo de IA autohospedado que se ha vuelto extremadamente popular en los últimos meses.
«El 17 de febrero de 2026 a las 3:26 a.m. PT, una parte no autorizada publicó una actualización de la CLI de Cline en el registro de NPM cline@2.3.0 utilizando un token público de npm comprometido», dijo el administrador del paquete de Cline en un aviso. «El paquete publicado contiene un package.json modificado con el script postinstall agregado: ‘postinstall’: «npm install -g openclaw@latest».
Como resultado, cuando se instala la versión 2.3.0 de Cline, OpenClaw se instala en la máquina del desarrollador. Klein dijo que no se realizaron cambios adicionales en el paquete y que no se observó ningún comportamiento malicioso. Sin embargo, señalamos que la instalación de OpenClaw no está autorizada ni prevista.
Este ataque a la cadena de suministro afecta a todos los usuarios que instalaron el paquete CLI de Cline publicado en npm, específicamente la versión 2.3.0, durante aproximadamente 8 horas desde las 3:26 a. m. PT hasta las 11:30 a. m. PT el 17 de febrero de 2026. Este incidente no afecta la extensión Visual Studio Code (VS Code) de Cline ni el complemento JetBrains.
Para mitigar la exposición no autorizada, los mantenedores de Cline han lanzado la versión 2.4.0. Desde entonces, la versión 2.3.0 ha quedado obsoleta y los tokens comprometidos han sido revocados. Cline también dijo que el mecanismo de publicación de npm se actualizó para admitir OpenID Connect (OIDC) a través de GitHub Actions.
El equipo de Microsoft Threat Intelligence dijo en una publicación según StepSecurity que el paquete Cline comprometido se descargó aproximadamente 4000 veces en un período de ocho horas.
Se anima a los usuarios a actualizar a la última versión, comprobar sus entornos en busca de instalaciones inesperadas de OpenClaw y eliminarlas si no son necesarias.
«A pesar del gran número de descargas, creemos que el impacto general es bajo. OpenClaw en sí no es malicioso y la instalación no incluye la instalación/inicio de un demonio de puerta de enlace», dijo Henrik Plate, investigador de Endor Labs.
«Sin embargo, este evento destaca la necesidad de que los administradores de paquetes no sólo habiliten la publicación confiable, sino también deshabiliten la publicación a través de tokens tradicionales, y que los usuarios de paquetes sean conscientes de la presencia (y ausencia repentina) de los certificados correspondientes».
Filtración de secretos de publicación mediante crioinyección
Actualmente no está claro quién estaba detrás del compromiso del paquete npm o cuál era su objetivo final, pero se produce después de que el investigador de seguridad Adnan Khan descubriera que los atacantes podrían aprovechar el hecho de que GitHub está configurado para clasificar automáticamente los problemas surgidos en GitHub y robar tokens de autenticación del repositorio mediante una inyección rápida.
«Cuando se abre un nuevo problema, el flujo de trabajo inicia la nube y proporciona acceso a un repositorio y a un amplio conjunto de herramientas para analizar y responder al problema», explicó Khan. «Propósito: Automatizar la respuesta inicial y reducir la carga para los mantenedores».
Sin embargo, una mala configuración en el flujo de trabajo le dio a Claude privilegios excesivos para ejecutar código arbitrario dentro de la rama predeterminada. Este aspecto, combinado con la inyección rápida incorporada en los títulos de los problemas de GitHub, podría ser aprovechado por un atacante con una cuenta de GitHub para engañar a un agente de IA para que ejecute comandos arbitrarios y comprometer el lanzamiento de un producto.
Este inconveniente se basa en PromptPwnd y tiene el nombre en código Clinejection. Esto se introdujo en una confirmación del código fuente realizada el 21 de diciembre de 2025. La cadena de ataque se describe a continuación:
Indique a Claude que ejecute código arbitrario en el flujo de trabajo de clasificación de problemas. Llene el caché con más de 10 GB de datos basura y active la política de desalojo de caché de uso menos reciente (LRU) de GitHub para eliminar entradas de caché legítimas. Establezca una entrada de caché contaminada que coincida con la clave de caché del flujo de trabajo de lanzamiento nocturno. Espere a que la publicación nocturna se ejecute alrededor de las 2:00 a. m. UTC y elimine el activador de caché contaminado al ingresar.
«Esto permite a un atacante ejecutar código en un flujo de trabajo nocturno y robar secretos de publicación», señaló Khan. «Si un atacante obtuviera el token público de producción, el resultado sería un ataque devastador a la cadena de suministro».
«Una actualización maliciosa enviada a través de credenciales públicas comprometidas se ejecutará en el contexto de cualquier desarrollador que tenga la extensión instalada y configurada para actualizarse automáticamente».
En resumen, esta secuencia de ataque utiliza el envenenamiento de caché en GitHub Actions para pasar de un flujo de trabajo de clasificación a un flujo de trabajo altamente privilegiado, como un flujo de trabajo de publicación nocturna de publicación o un flujo de trabajo de publicación nocturna de NPM, y robar credenciales de publicación nocturna con los mismos derechos de acceso utilizados para las versiones de producción.
Resulta que esto es exactamente lo que sucedió, y un atacante desconocido armado con un token de publicación npm activo (denominado NPM_RELEASE_TOKEN o NPM_TOKEN) se autenticó con el registro de Node.js y publicó la versión 2.3.0 de Cline.
«Durante demasiado tiempo hemos estado hablando de la seguridad de la cadena de suministro de IA desde una perspectiva teórica, pero esta semana se convirtió en una realidad operativa», dijo Chris Hughes, vicepresidente de estrategia de seguridad de Zenity, en un comunicado compartido con Hacker News. «Cuando el título de un solo tema puede afectar los procesos de construcción automatizados y los lanzamientos publicados, ese riesgo ya no es teórico. La industria necesita comenzar a reconocer a los agentes de IA como actores privilegiados que requieren gobernanza».
Source link
