(https://i.imgur.com/fmt3EX6.jpeg)
Un nuevo incidente de ataque a la cadena de suministro de software ha sacudido al ecosistema de desarrollo open source. El asistente de código impulsado por IA Cline CLI fue comprometido tras la publicación no autorizada de una versión maliciosa en el registro de npm, lo que provocó la instalación silenciosa del agente autónomo OpenClaw en miles de entornos de desarrolladores.
El incidente, detectado el 17 de febrero de 2026, expone nuevamente los riesgos críticos asociados a la automatización basada en inteligencia artificial y a los flujos de publicación continua en proyectos de código abierto.
¿Qué ocurrió exactamente con Cline CLI?Según los mantenedores del proyecto, una parte no autorizada utilizó un token de publicación npm comprometido para publicar la versión
[email protected] a las 3:26 AM PT.
El paquete contenía una modificación en el archivo package.json, incorporando un script adicional:
"postinstall": "npm install -g openclaw@latest"Este simple cambio activaba la instalación automática de OpenClaw en la máquina del desarrollador durante la instalación del paquete comprometido.
Aunque los responsables del proyecto aseguraron que no se observaron otras modificaciones maliciosas y que OpenClaw no es en sí un software malicioso, subrayaron que su instalación fue no autorizada ni intencionada, lo que constituye una violación grave del modelo de confianza en la cadena de suministro.
Alcance del ataque: 4.000 descargas en ocho horasEl ataque afectó exclusivamente a quienes instalaron la versión 2.3.0 entre las 3:26 AM y las 11:30 AM PT del 17 de febrero de 2026, una ventana aproximada de ocho horas.
La firma StepSecurity estimó que el paquete comprometido fue descargado unas 4.000 veces durante ese periodo.
El incidente:
- No afectó a la extensión de Visual Studio Code de Cline.
- Tampoco impactó al plugin para JetBrains.
- Solo comprometió la versión CLI publicada en npm.
Tras detectar el problema, los mantenedores:
- Publicaron la versión 2.4.0.
- Obsoletaron la 2.3.0.
- Revocaron el token comprometido.
- Migraron el sistema de publicación a OpenID Connect (OIDC) mediante GitHub Actions.
Microsoft detecta un aumento en OpenClawEl equipo de inteligencia de amenazas de Microsoft informó haber observado un "pequeño pero notable aumento" en las instalaciones de OpenClaw el mismo día del incidente.
Aunque el impacto general fue calificado como bajo, expertos como Henrik Plate, de Endor Labs, señalaron que el evento evidencia la necesidad urgente de:
- Deshabilitar tokens tradicionales de publicación.
- Adoptar publicación confiable mediante OIDC.
- Implementar verificación de atestados de compilación.
- Monitorizar cambios inesperados en dependencias.
Clinejection: cuando la IA se convierte en vector de ataqueMás allá del incidente inmediato, la situación revela un problema estructural más profundo relacionado con la seguridad de flujos de trabajo automatizados por IA.
El investigador de seguridad Adnan Khan descubrió previamente una vulnerabilidad denominada Clinejection, derivada de una mala configuración en el sistema de triaje automático de issues en GitHub.
El repositorio utilizaba un flujo de trabajo que activaba al modelo Claude con amplios permisos cuando se abría un nuevo issue. El objetivo era reducir la carga de los mantenedores mediante automatización inteligente.
Sin embargo, una configuración incorrecta permitió que:
- Claude ejecutara código arbitrario.
- Se abusara del sistema de caché de GitHub.
- Se envenenaran entradas de caché críticas.
- Se pivotara hacia flujos de publicación nocturna altamente privilegiados.
Envenenamiento de caché en GitHub Actions- El ataque descrito por Khan incluía:
- Saturar la caché con más de 10GB de datos basura.
- Activar la política LRU (Least Recently Used).
- Introducir entradas de caché envenenadas.
- Esperar la ejecución del flujo Publish Nightly Release.
Esto permitía obtener ejecución de código en un entorno con acceso a secretos de publicación, incluyendo tokens npm de producción.
De hecho, el atacante logró utilizar un token activo (NPM_RELEASE_TOKEN o NPM_TOKEN) para publicar la versión 2.3.0 comprometida.
En otras palabras, el escenario teórico se convirtió en una explotación real.
Riesgos para la cadena de suministro de softwareEste incidente confirma que los agentes de IA deben considerarse actores privilegiados dentro de la infraestructura DevOps.
Chris Hughes, vicepresidente de estrategia de seguridad en Zenity, advirtió que cuando un simple título de issue puede influir en una cadena de compilación automatizada, el riesgo deja de ser teórico.
Los principales riesgos identificados incluyen:
- Robo de tokens de publicación.
- Inserción de código no autorizado en paquetes de producción.
- Compromiso masivo mediante actualizaciones automáticas.
- Escalamiento lateral dentro de pipelines CI/CD.
Si un actor malicioso hubiera introducido código verdaderamente dañino en lugar de OpenClaw, el impacto podría haber sido devastador para miles de desarrolladores y organizaciones.
Recomendaciones para desarrolladores y mantenedoresPara mitigar riesgos similares, se recomienda:
Para mantenedores- Adoptar OIDC y eliminar tokens estáticos.
- Implementar controles de mínimos privilegios.
- Validar atestados de compilación.
- Segmentar flujos de trabajo críticos.
- Auditar regularmente permisos de agentes IA.
Para desarrolladores- Actualizar inmediatamente a Cline CLI 2.4.0.
- Revisar el entorno en busca de instalaciones inesperadas de OpenClaw.
- Eliminar OpenClaw si no es necesario.
- Implementar escaneo de integridad de dependencias.
La seguridad de la IA ya no es teóricaEl compromiso de Cline CLI demuestra que la seguridad en la cadena de suministro impulsada por IA es un desafío operativo real.
La combinación de automatización, agentes autónomos y credenciales privilegiadas amplía significativamente la superficie de ataque. El uso indebido de flujos GitHub Actions y tokens npm subraya la necesidad de gobernanza sólida y controles estrictos.
En un ecosistema donde las herramientas de IA aceleran el desarrollo, también deben integrarse dentro de marcos robustos de seguridad. De lo contrario, un simple commit o un issue aparentemente inofensivo podría convertirse en la puerta de entrada a un ataque masivo contra miles de desarrolladores en todo el mundo.
Fuente: https://thehackernews.com/