En otro ataque más a la condena de suministro de software, el asistente de codificación Cline CLI, de código franco y basado en inteligencia sintético (IA), se actualizó para instalar sigilosamente OpenClaw, un agente autónomo de IA autohospedado que se ha vuelto extremadamente popular en los últimos meses.
“El 17 de febrero de 2026, a las 3:26 a.m. PT, una parte no autorizada utilizó un token de publicación npm comprometido para informar una modernización de Cline CLI en el registro de NPM: cline@2.3.0”, dijeron los mantenedores del paquete Cline en un aviso. “El paquete publicado contiene un package.json modificado con un script postinstall apéndice: ‘postinstall”: “npm install -g openclaw@latest”.
Como resultado, esto hace que OpenClaw se instale en la máquina del desarrollador cuando se instala la lectura 2.3.0 de Cline. Cline dijo que no se introdujeron modificaciones adicionales en el paquete y que no se observó ningún comportamiento astuto. Sin secuestro, señaló que la instalación de OpenClaw no estaba autorizada ni prevista.
El ataque a la condena de suministro afecta a todos los usuarios que instalaron el paquete CLI de Cline publicado en npm, específicamente la lectura 2.3.0, durante un período de aproximadamente ocho horas entre las 3:26 am PT y las 11:30 am PT del 17 de febrero de 2026. El incidente no afecta la extensión Visual Studio Code (VS Code) de Cline ni el complemento JetBrains.
Para mitigar la publicación no autorizada, los mantenedores de Cline lanzaron la lectura 2.4.0. Desde entonces, la lectura 2.3.0 ha quedado obsoleta y el token comprometido ha sido revocado. Cline igualmente dijo que el mecanismo de publicación de npm se actualizó para convenir OpenID Connect (OIDC) a través de GitHub Actions.
En una publicación en X, el equipo de Microsoft Threat Intelligence dijo que observó un “pequeño pero importante aumento” en las instalaciones de OpenClaw el 17 de febrero de 2026, como resultado del compromiso de la condena de suministro del paquete Cline CLI. Según StepSecurity, el paquete Cline comprometido se descargó aproximadamente 4.000 veces durante el período de ocho horas.
Se recomienda a los usuarios desempolvar a la última lectura, efectuar su entorno para detectar cualquier instalación inesperada de OpenClaw y eliminarlo si no es necesario.
“El impacto militar se considera bajo, a pesar del parada número de descargas: OpenClaw en sí no es astuto y la instalación no incluye la instalación/inicio del demonio Gateway”, dijo Henrik Plate, investigador de Endor Labs.
“Aun así, este evento enfatiza la requisito de que los mantenedores de paquetes no sólo habiliten la publicación confiable, sino que igualmente deshabiliten la publicación a través de tokens tradicionales, y que los usuarios de paquetes presten atención a la presencia (y desaparición repentina) de las certificaciones correspondientes”.
Aprovechando Clinejection para filtrar secretos de publicaciones
Si acertadamente actualmente no está claro quién está detrás de la violación del paquete npm y cuáles eran sus objetivos finales, se produce luego de que el investigador de seguridad Adnan Khan descubriera que los atacantes podrían robar los tokens de autenticación del repositorio mediante una inyección rápida aprovechando el hecho de que está configurado para clasificar automáticamente cualquier problema entrante planteado en GitHub.
“Cuando se abre un nuevo problema, el flujo de trabajo le da a Claude ataque al repositorio y un amplio conjunto de herramientas para analizar y replicar al problema”, explicó Khan. “La intención: automatizar la primera respuesta para dominar la carga del mantenedor”.
Pero una mala configuración en el flujo de trabajo significó que le dio a Claude permisos excesivos para alcanzar la ejecución de código improcedente interiormente de la rama predeterminada. Este aspecto, combinado con una inyección rápida incluida en el título del problema de GitHub, podría ser explotado por un atacante con una cuenta de GitHub para engañar al agente de IA para que ejecute comandos arbitrarios y comprometa las versiones de producción.
Esta deficiencia, que se plinto en PromptPwnd, recibió el nombre en código Clinejection. Se introdujo en una confirmación del código fuente realizada el 21 de diciembre de 2025. La condena de ataque se describe a continuación:
- Solicitar a Claude que ejecute código improcedente en el flujo de trabajo de clasificación de problemas
- Desaloje las entradas de elegancia legítimas llenándolo con más de 10 GB de datos basura, lo que activa la política de desalojo de elegancia menos utilizada recientemente (LRU) de GitHub.
- Establecer entradas de elegancia envenenadas que coincidan con las claves de elegancia del flujo de trabajo de divulgación noctívago
- Espere a que se ejecute la publicación nocturna más o menos de las 2 a. m. UTC y active la entrada de elegancia envenenada
“Esto permitiría a un atacante obtener la ejecución de código en el flujo de trabajo noctívago y robar los secretos de publicación”, señaló Khan. “Si un actor de amenazas obtuviera los tokens de publicación de producción, el resultado sería un ataque devastador a la condena de suministro”.
“Una modernización maliciosa enviada a través de credenciales de publicación comprometidas se ejecutaría en el contexto de cada desarrollador que tenga la extensión instalada y configurada para actualizarse automáticamente”.
En otras palabras, la secuencia de ataque emplea el envenenamiento de elegancia de GitHub Actions para acontecer del flujo de trabajo de clasificación a un flujo de trabajo enormemente privilegiado, como los flujos de trabajo Publish Nightly Release y Publish NPM Nightly, y robar las credenciales de publicación nocturna, que tienen el mismo ataque que las utilizadas para los lanzamientos de producción.
Resulta que esto es exactamente lo que sucedió: el actor de amenazas desconocido utilizó como armas un token de publicación npm activo (denominado NPM_RELEASE_TOKEN o NPM_TOKEN) para autenticarse con el registro de Node.js y informar la lectura 2.3.0 de Cline.
“Hemos estado hablando de la seguridad de la condena de suministro de IA en términos teóricos durante demasiado tiempo, y esta semana se convirtió en una sinceridad operativa”, dijo Chris Hughes, vicepresidente de organización de seguridad de Zenity, en un comunicado compartido con The Hacker News. “Cuando el título de un solo tema puede influir en un proceso de construcción automatizado y afectar una lectura publicada, el peligro ya no es teórico. La industria necesita comenzar a rastrear a los agentes de IA como actores privilegiados que requieren gobernanza”.
