En otro ataque a la cadena de suministro de software, el asistente de codificación de código abierto impulsado por inteligencia artificial (IA) CLI de línea se actualizó para instalarlo sigilosamente Ley abierta , un agente de IA autónomo autohospedado que se ha hecho extremadamente popular en los últimos meses.

«El 17 de febrero de 2026, a las 3:26 a. m. PT, una parte no autorizada utilizó un token de publicación de npm comprometido para publicar una actualización de la CLI de Cline en el registro de NPM: cline @2 .3.0», dijeron los responsables del paquete Cline dijo en un aviso. «El paquete publicado contiene un package.json modificado con un script posterior a la instalación añadido: 'postinstall»: «npm install -g openclaw @latest '».

Como resultado, esto hace que OpenClaw se instale en la máquina del desarrollador cuando se instala la versión 2.3.0 de Cline. Cline dijo que no se introdujeron modificaciones adicionales en el paquete y que no se observó ningún comportamiento malicioso. Sin embargo, señaló que la instalación de OpenClaw no estaba autorizada ni pretendida.

El ataque a la cadena de suministro afecta a todos los usuarios que instalaron el paquete CLI de Cline publicado en npm, específicamente la versión 2.3.0, durante un período de aproximadamente ocho horas entre las 3:26 a.m. PT y las 11:30 a.m. PT del 17 de febrero de 2026. El incidente no afecta a la extensión Visual Studio Code (VS Code) de Cline ni al complemento JetBrains.

Para mitigar la publicación no autorizada, los mantenedores de Cline han lanzado la versión 2.4.0. Desde entonces, la versión 2.3.0 ha quedado obsoleta y el token comprometido ha sido revocado. Cline también dijo que el mecanismo de publicación de npm se ha actualizado para que sea compatible con OpenID Connect (OIDC) a través de GitHub Actions.

adsense

En un correo en X, el equipo de inteligencia de amenazas de Microsoft dijo que había observado un «aumento pequeño pero notable» en las instalaciones de OpenClaw el 17 de febrero de 2026, como resultado de la compromiso con la cadena de suministro del paquete CLI de Cline. De acuerdo con Seguridad escalonada , el paquete Cline comprometido se descargó aproximadamente 4.000 veces durante el período de ocho horas.

Se recomienda a los usuarios que actualicen a la última versión, comprueben su entorno para detectar cualquier instalación inesperada de OpenClaw y la eliminen si no es necesario.

«El impacto global se considera bajo, a pesar del elevado número de descargas: OpenClaw en sí no es malicioso y la instalación no incluye la instalación o el inicio del daemon Gateway», dijo Henrik Plate, investigador de Endor Labs dijo .

«Sin embargo, este evento enfatiza la necesidad de que los mantenedores de paquetes no solo habiliten la publicación confiable, sino que también deshabiliten la publicación a través de tokens tradicionales, y de que los usuarios de paquetes presten atención a la presencia (y ausencia repentina) de las atestaciones correspondientes».

Aprovechar Clinejection para filtrar secretos de publicaciones

Si bien actualmente no está claro quién está detrás de la violación del paquete npm y cuáles eran sus objetivos finales, se produce después del investigador de seguridad Adnan Khan descubierto mediante el cual los atacantes podrían robar los tokens de autenticación del repositorio inyección rápida aprovechando el hecho de que está configurado para clasificar automáticamente cualquier problema entrante que surja en GitHub.

«Cuando se abre un nuevo número, el flujo de trabajo pone en marcha a Claude, que tiene acceso al repositorio y a un amplio conjunto de herramientas para analizar el problema y responder al mismo», explica Khan. «La intención: automatizar la primera respuesta para reducir la carga que supone el mantenimiento».

Sin embargo, una mala configuración en el flujo de trabajo hizo que Claude concediera permisos excesivos para ejecutar código arbitrario dentro de la rama predeterminada. Un atacante con una cuenta de GitHub podría aprovechar este aspecto, combinado con una inserción rápida integrada en el título de la edición de GitHub, para engañar al agente de IA para que ejecutara comandos arbitrarios y pusiera en peligro las versiones de producción.

Esta deficiencia, que se basa en PrompWND , tiene el nombre en código Clinejection. Se introdujo en un confirmación de código fuente realizado el 21 de diciembre de 2025. La cadena de ataque se describe a continuación:

  • Pídele a Claude que ejecute código arbitrario en el flujo de trabajo de clasificación de problemas
  • Desaloja las entradas legítimas de la caché llenándola con más de 10 GB de datos basura, lo que activa la política de desalojo de la caché menos utilizada recientemente (LRU) de GitHub
  • Set entradas de caché envenenadas hacer coincidir las claves de caché del flujo de trabajo de lanzamiento nocturno
  • Espera a que la publicación nocturna se publique alrededor de las 2 a.m. UTC y se active en la entrada de la caché envenenada
enlaces

«Esto permitiría a un atacante obtener la ejecución de código en el flujo de trabajo nocturno y robar los secretos de la publicación», señaló Khan. «Si un agente de amenazas obtuviera los tokens de publicación de la producción, el resultado sería un devastador ataque a la cadena de suministro».

«Una actualización malintencionada que se introdujera a través de credenciales de publicación comprometidas se ejecutaría en el contexto de cada desarrollador que tuviera la extensión instalada y configurada para actualizarse automáticamente».

En otras palabras, la secuencia de ataque emplea Intoxicación de la caché de GitHub para pasar del flujo de trabajo de clasificación a un flujo de trabajo con muchos privilegios, como los flujos de trabajo Publish Nightly Release y Publish NPM Nightly, y robar las credenciales de publicación nocturna, que tienen el mismo acceso que las que se utilizan en las versiones de producción.

Resulta que, esto es exactamente lo que pasó , en el que el actor de amenazas desconocido convierte en arma un token de publicación npm activo (denominado NPM_RELEASE_TOKEN o NPM_TOKEN) para autenticarse en el registro Node.js y publicar la versión 2.3.0 de Cline.

«Llevamos demasiado tiempo hablando de la seguridad de la cadena de suministro de IA en términos teóricos, y esta semana se convirtió en una realidad operativa», dijo Chris Hughes, vicepresidente de estrategia de seguridad de Zenity, en un comunicado compartido con The Hacker News. «Cuando el título de un solo número puede influir en un proceso de creación automatizado y afectar a una versión publicada, el riesgo ya no es teórico. La industria debe empezar a reconocer a los agentes de inteligencia artificial como actores privilegiados que requieren gobernanza».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.