Bij weer een nieuwe software supply chain-aanval werd de open source, door kunstmatige intelligentie (AI) aangedreven coderingsassistent Cline CLI geüpdatet om heimelijk OpenClaw te installeren, een zelfgehoste autonome AI-agent die de afgelopen maanden buitengewoon populair is geworden.
“Op 17 februari 2026, om 03:26 uur PT, gebruikte een ongeautoriseerde partij een gecompromitteerd npm-publicatietoken om een update voor Cline CLI te publiceren in het NPM-register: [email protected]”, aldus de beheerders van het Cline-pakket in een advies. “Het gepubliceerde pakket bevat een aangepast package.json met een toegevoegd postinstall-script: ‘postinstall’: “npm install -g openclaw@latest.'”
Als gevolg hiervan zorgt dit ervoor dat OpenClaw op de machine van de ontwikkelaar wordt geïnstalleerd wanneer Cline versie 2.3.0 wordt geïnstalleerd. Cline zei dat er geen aanvullende wijzigingen in het pakket zijn aangebracht en dat er geen kwaadaardig gedrag is waargenomen. Het merkte echter op dat de installatie van OpenClaw niet geautoriseerd of bedoeld was.
De supply chain-aanval treft alle gebruikers die het Cline CLI-pakket hebben geïnstalleerd dat is gepubliceerd op npm, met name versie 2.3.0, gedurende een periode van ongeveer acht uur tussen 03.26 uur PT en 11.30 uur PT op 17 februari 2026. Het incident heeft geen invloed op Cline’s Visual Studio Code (VS Code)-extensie en de JetBrains-plug-in.
Om de ongeoorloofde publicatie te beperken, hebben Cline-onderhouders versie 2.4.0 uitgebracht. Versie 2.3.0 is inmiddels verouderd en het gecompromitteerde token is ingetrokken. Cline zei ook dat het npm-publicatiemechanisme is bijgewerkt om OpenID Connect (OIDC) via GitHub Actions te ondersteunen.
In een bericht op X zei het Microsoft Threat Intelligence-team dat het op 17 februari 2026 een “kleine maar merkbare stijging” in OpenClaw-installaties had waargenomen als gevolg van de supply chain-compromis van het Cline CLI-pakket. Volgens StepSecurity werd het gecompromitteerde Cline-pakket in de acht uur durende periode ongeveer 4.000 keer gedownload.
Gebruikers wordt geadviseerd om te updaten naar de nieuwste versie, hun omgeving te controleren op onverwachte installaties van OpenClaw en deze te verwijderen als dit niet nodig is.
“De algehele impact wordt als laag beschouwd, ondanks het hoge aantal downloads: OpenClaw zelf is niet kwaadaardig en de installatie omvat niet de installatie/start van de Gateway-daemon”, aldus Endor Labs-onderzoeker Henrik Plate.
“Toch benadrukt deze gebeurtenis de noodzaak voor pakketbeheerders om niet alleen vertrouwde publicatie in te schakelen, maar ook publicatie via traditionele tokens uit te schakelen – en voor pakketgebruikers om aandacht te besteden aan de aanwezigheid (en plotselinge afwezigheid) van overeenkomstige attesten.”
Clinejection gebruiken om publicatiegeheimen te lekken
Hoewel het momenteel niet duidelijk is wie er achter de inbreuk op het npm-pakket zit en wat hun einddoelen waren, komt dit nadat beveiligingsonderzoeker Adnan Khan ontdekte dat aanvallers de authenticatietokens van de repository konden stelen door middel van snelle injectie door te profiteren van het feit dat het is geconfigureerd om automatisch elk binnenkomend probleem dat op GitHub wordt gemeld, te beoordelen.
“Wanneer een nieuw probleem wordt geopend, geeft de workflow Claude toegang tot de repository en een brede reeks tools om het probleem te analyseren en erop te reageren”, legt Khan uit. “De bedoeling: automatiseer de eerste reactie om de last voor onderhouders te verminderen.”
Maar een verkeerde configuratie in de workflow zorgde ervoor dat Claude buitensporige machtigingen kreeg om willekeurige code uit te voeren binnen de standaardvertakking. Dit aspect, gecombineerd met een snelle injectie ingebed in de titel van het GitHub-probleem, zou kunnen worden uitgebuit door een aanvaller met een GitHub-account om de AI-agent te misleiden om willekeurige opdrachten uit te voeren en productiereleases in gevaar te brengen.
Deze tekortkoming, die voortbouwt op PromptPwnd, heeft de codenaam Clinejection gekregen. Het werd geïntroduceerd in een broncode-commit gemaakt op 21 december 2025. De aanvalsketen wordt hieronder beschreven:
- Vraag Claude om willekeurige code uit te voeren in de probleembeoordelingsworkflow
- Verwijder legitieme cache-items door de cache te vullen met meer dan 10 GB aan ongewenste gegevens, waardoor GitHub’s Least Recent Used (LRU) cache-uitzettingsbeleid wordt geactiveerd
- Stel vergiftigde cachegegevens in die overeenkomen met de cachesleutels van de nachtelijke vrijgaveworkflow
- Wacht tot de nachtelijke publicatie rond 02.00 uur UTC wordt uitgevoerd en activeer de vergiftigde cache-invoer
“Hierdoor zou een aanvaller code kunnen uitvoeren in de nachtelijke workflow en de publicatiegeheimen kunnen stelen”, aldus Khan. “Als een bedreigingsacteur de productiepublicatietokens zou bemachtigen, zou het resultaat een verwoestende aanval op de toeleveringsketen zijn.”
“Een kwaadaardige update die door gecompromitteerde publicatiereferenties wordt gepusht, zou worden uitgevoerd in de context van elke ontwikkelaar die de extensie heeft geïnstalleerd en is ingesteld om automatisch te updaten.”
Met andere woorden, de aanvalsreeks maakt gebruik van GitHub Actions-cachevergiftiging om van de triage-workflow naar een zeer geprivilegieerde workflow te gaan, zoals de Publish Nightly Release- en Publish NPM Nightly-workflows, en om de nachtelijke publicatiereferenties te stelen, die dezelfde toegang hebben als die gebruikt voor productiereleases.
Het blijkt dat dit precies is wat er gebeurde, waarbij de onbekende bedreigingsacteur een actief npm-publicatietoken (ook wel NPM_RELEASE_TOKEN of NPM_TOKEN genoemd) bewapende om zich te authenticeren bij het Node.js-register en Cline-versie 2.3.0 te publiceren.
“We hebben te lang in theoretische termen gesproken over AI-toeleveringsketenbeveiliging, en deze week werd het een operationele realiteit”, zei Chris Hughes, VP Security Strategy bij Zenity, in een verklaring gedeeld met The Hacker News. “Wanneer een enkele titel van een nummer een geautomatiseerde build-pijplijn kan beïnvloeden en een gepubliceerde release kan beïnvloeden, is het risico niet langer theoretisch. De industrie moet AI-agenten gaan erkennen als bevoorrechte actoren die bestuur vereisen.”
