En otro ataque más a la cadena de suministro de software, el asistente de codificación Cline CLI, de código abierto y basado en inteligencia artificial (IA), se actualizó para instalar sigilosamente OpenClaw, un agente autónomo de IA autohospedado que se ha vuelto extremadamente popular en los últimos meses.
«El 17 de febrero de 2026, a las 3:26 a.m. PT, una parte no autorizada utilizó un token de publicación npm comprometido para publicar una actualización de Cline CLI en el registro de NPM: cline@2.3.0», dijeron los mantenedores del paquete Cline en un aviso. «El paquete publicado contiene un package.json modificado con un script postinstall agregado: ‘postinstall»: «npm install -g openclaw@latest».
Como resultado, esto hace que OpenClaw se instale en la máquina del desarrollador cuando se instala la versión 2.3.0 de Cline. Cline dijo que no se introdujeron modificaciones adicionales en el paquete y que no se observó ningún comportamiento malicioso. Sin embargo, señaló que la instalación de OpenClaw no estaba autorizada ni prevista.
El ataque a la cadena de suministro afecta a todos los usuarios que instalaron el paquete CLI de Cline publicado en npm, específicamente la versión 2.3.0, durante un período de aproximadamente ocho horas entre las 3:26 am PT y las 11:30 am PT del 17 de febrero de 2026. El incidente no afecta la extensión Visual Studio Code (VS Code) de Cline ni el complemento JetBrains.
Para mitigar la publicación no autorizada, los mantenedores de Cline lanzaron la versión 2.4.0. Desde entonces, la versión 2.3.0 ha quedado obsoleta y el token comprometido ha sido revocado. Cline también dijo que el mecanismo de publicación de npm se actualizó para admitir OpenID Connect (OIDC) a través de GitHub Actions.
En una publicación en X, el equipo de Microsoft Threat Intelligence dijo que observó un «pequeño pero notable aumento» en las instalaciones de OpenClaw el 17 de febrero de 2026, como resultado del compromiso de la cadena de suministro del paquete Cline CLI. Según StepSecurity, el paquete Cline comprometido se descargó aproximadamente 4.000 veces durante el período de ocho horas.
Se recomienda a los usuarios actualizar a la última versión, verificar su entorno para detectar cualquier instalación inesperada de OpenClaw y eliminarlo si no es necesario.
«El impacto general se considera bajo, a pesar del alto número de descargas: OpenClaw en sí no es malicioso y la instalación no incluye la instalación/inicio del demonio Gateway», dijo Henrik Plate, investigador de Endor Labs.
«Aun así, este evento enfatiza la necesidad de que los mantenedores de paquetes no sólo habiliten la publicación confiable, sino que también deshabiliten la publicación a través de tokens tradicionales, y que los usuarios de paquetes presten atención a la presencia (y ausencia repentina) de las certificaciones correspondientes».
Aprovechando Clinejection para filtrar secretos de publicaciones
Si bien actualmente no está claro quién está detrás de la violación del paquete npm y cuáles eran sus objetivos finales, se produce después de que el investigador de seguridad Adnan Khan descubriera que los atacantes podrían robar los tokens de autenticación del repositorio mediante una inyección rápida aprovechando el hecho de que está configurado para clasificar automáticamente cualquier problema entrante planteado en GitHub.
«Cuando se abre un nuevo problema, el flujo de trabajo le da a Claude acceso al repositorio y un amplio conjunto de herramientas para analizar y responder al problema», explicó Khan. «La intención: automatizar la primera respuesta para reducir la carga del mantenedor».
Pero una mala configuración en el flujo de trabajo significó que le dio a Claude permisos excesivos para lograr la ejecución de código arbitrario dentro de la rama predeterminada. Este aspecto, combinado con una inyección rápida incluida en el título del problema de GitHub, podría ser aprovechado por un atacante con una cuenta de GitHub para engañar al agente de IA para que ejecute comandos arbitrarios y comprometa las versiones de producción.
Esta deficiencia, que se basa en PromptPwnd, recibió el nombre en código Clinejection. Se introdujo en una confirmación del código fuente realizada el 21 de diciembre de 2025. La cadena de ataque se describe a continuación:
- Solicitar a Claude que ejecute código arbitrario en el flujo de trabajo de clasificación de problemas
- Desaloje las entradas de caché legítimas llenándolo con más de 10 GB de datos basura, lo que activa la política de desalojo de caché menos utilizada recientemente (LRU) de GitHub.
- Establecer entradas de caché envenenadas que coincidan con las claves de caché del flujo de trabajo de lanzamiento nocturno
- Espere a que se ejecute la publicación nocturna alrededor de las 2 a. m. UTC y active la entrada de caché envenenada
«Esto permitiría a un atacante obtener la ejecución de código en el flujo de trabajo nocturno y robar los secretos de publicación», señaló Khan. «Si un actor de amenazas obtuviera los tokens de publicación de producción, el resultado sería un ataque devastador a la cadena de suministro».
«Una actualización maliciosa enviada a través de credenciales de publicación comprometidas se ejecutaría en el contexto de cada desarrollador que tenga la extensión instalada y configurada para actualizarse automáticamente».
En otras palabras, la secuencia de ataque emplea el envenenamiento de caché de GitHub Actions para pasar del flujo de trabajo de clasificación a un flujo de trabajo altamente privilegiado, como los flujos de trabajo Publish Nightly Release y Publish NPM Nightly, y robar las credenciales de publicación nocturna, que tienen el mismo acceso que las utilizadas para los lanzamientos de producción.
Resulta que esto es exactamente lo que sucedió: el actor de amenazas desconocido utilizó como arma un token de publicación npm activo (denominado NPM_RELEASE_TOKEN o NPM_TOKEN) para autenticarse con el registro de Node.js y publicar la versión 2.3.0 de Cline.
«Hemos estado hablando de la seguridad de la cadena de suministro de IA en términos teóricos durante demasiado tiempo, y esta semana se convirtió en una realidad operativa», dijo Chris Hughes, vicepresidente de estrategia de seguridad de Zenity, en un comunicado compartido con The Hacker News. «Cuando el título de un solo tema puede influir en un proceso de construcción automatizado y afectar una versión publicada, el riesgo ya no es teórico. La industria necesita comenzar a reconocer a los agentes de IA como actores privilegiados que requieren gobernanza».