La chaîne d'approvisionnement de vérifier logiciel: l'attaque Cline vous avez installé OpenClaw sans autorisation

Cette semaine, un autre épisode inquiétant a été confirmé dans la sécurité de la chaîne d'approvisionnement du logiciel: l'outil d'aide au programmeur CLI de Cline, un projet open source qui intègre des capacités d'intelligence artificielle, a été publié sur le réseau npm dans une version compromise qui comprenait une instruction pour installer discrètement l'agent autonome OpenLaw. Le paquet concerné était: cline @ 2.3.0, et la publication non autorisée a été produite le 17 février 2026 à l'aide d'une publication qui, selon les responsables, avait été compromise. Le communiqué officiel est disponible dans l'avis de sécurité du projet à GitHub: GHSA-9ppg-jx86-fqw7.

Le paquet publié comprenait une modification du paquet. json qui a ajouté un script post-installation dont l'effet était d'exécuter npm install -g openclaw @ dernier. Cela a conduit, pour une période d'environ huit heures entre 3: 26 et 11: 30 PT le 17 février, tout développeur qui a installé cette version a reçu l'installation automatique OpenLaw dans ses environs. Les responsables de Cline affirment qu'aucun autre code malveillant n'a été détecté dans le paquet et que l'installation d'OpenClaw n'a pas été conçue ou autorisée; cependant, le fait qu'un agent autonome puisse être distribué suscite donc des inquiétudes.

Les responsables ont réagi en retirant la version touchée et en publiant rapidement cline @ 2.4.0, en plus de désactiver le jeton engagé et de marquer le 2.3.0 comme deprecada. Ils ont également annoncé des modifications à leur mécanisme de publication qui intègrent OpenID Connect (OIDC) de GitHub Actions afin de réduire la dépendance à l'égard des jetons statiques et de minimiser ce type de risque. Le flux de nouvelles techniques a documenté la réaction et la portée: par exemple, Microsoft Threat Intelligence a noté dans son compte X une augmentation des installations OpenClaw correspondant à l'incident ( Voir publication) et les signatures de sécurité ont estimé que la version compromise a été téléchargée des milliers de fois pendant la fenêtre d'exposition, selon les données partagées par Sécurité des étapes.

Bien qu'OpenClaw elle-même ne soit pas considéré comme un malware et, selon l'analyse de la firme Endor Labs, la publication ne contenait pas de composants qui commenceraient immédiatement des services dangereux, cet événement est un rappel que l'installation non désirée de logiciels privilégiés peut devenir une passerelle pour des attaques plus graves. Comme l'a expliqué le chercheur Henrik Plate of Endor Labs, l'impact technique immédiat peut être limité, mais la leçon opérationnelle est claire : les responsables doivent imposer des mécanismes de publication fiables et les utilisateurs doivent surveiller les postes et les signatures associés aux rejets. L'analyse complète de Endor Labs est disponible ici: Endor Labs - analyse des incidents.

La recherche sur la façon dont la capacité de publier la version malveillante a été obtenue indique une chaîne d'exploitation plus complexe impliquant des agents d'IA utilisés dans les flux de triage des problèmes. Le chercheur Adnan Khan a détecté que le dépôt Cline avait un flux de travail qui, lorsqu'une incidence s'est ouverte, a soulevé un agent Claude avec accès à la base de code et des outils supplémentaires pour générer des réponses automatiques. Cette automatisation, conçue pour alléger le fardeau des mainteneurs, a accordé des autorisations excessives à l'agent, et un titre d'émission soigneusement construit pourrait inciter l'AI à exécuter des commandes arbitraires : une technique que Khan a baptisée « Clinediction ». Son explication technique et ses preuves sont publiées sur son blog: Clinediction - analyse par Adnan Khan. La commission qui a introduit le changement potentiellement opérationnel se trouve également dans le dépôt: Engagement de décembre 2025.

La séquence d'attaque décrite par Khan combine l'injection rapide contre les agents de l'IA avec une technique d'empoisonnement cache dans GitHub Actions pour réaliser l'exécution dans un workflow de publication avec des permissions élevées. L'attaquant provoque d'abord le système de triage pour exécuter le code malveillant, puis remplir le cache de données qui provoquent l'expulsion des entrées légitimes et placer les entrées "poisonnées" qui correspondent aux clés utilisées par les travaux de nuit de publication. Lorsque la routine de publication de nuit tourne et trouve ces entrées manipulées, il récupère des artefacts et des références qui permettent à ceux qui contrôlent le flux de publier des artefacts en npm avec des jetons de production. Khan avait déjà écrit sur ce type de risque dans l'analyse précédente de GitHub Actions cache empoisonnement: Les monstres dans votre cache de construction.

Des chercheurs externes ont confirmé que la chaîne d'exploitation décrite était essentiellement celle qui a donné lieu à la publication de cline @ 2.3.0 avec le script post-installation. Un rapport technique résumant les constatations et les corrélations est disponible sur le blog MBG Security, qui détaille comment un jeton de publication npm actif a été utilisé pour signer et télécharger le paquet engagé: MBG Sécurité - enquête d'engagement. De plus, l'analyse de cas et la couverture par des moyens de sécurité spécialisés aident à comprendre la situation : socket.dev - analyse d'attaque et une note plus générale avec les réactions de l'industrie Les nouvelles Hacker.

Au-delà des détails techniques immédiats, la communauté de la sécurité note une conclusion pratique : les agents IA incorporés dans les pipelines et les automatisations ne sont pas des acteurs neutres; lorsqu'ils reçoivent des permis étendus, ils agissent en tant que composants privilégiés du système. Oui. Hughes, responsable de la stratégie de sécurité à Zenity, a synthétisé cette idée en soulignant que ce qui a déjà été discuté en résumé sur la sécurité des agents indépendants a maintenant un coût opérationnel tangible et nécessite une gouvernance spécifique et des contrôles d'accès. La note avec sa déclaration est recueillie dans la couverture de l'incident par The Hacker News.

Si vous utilisez Cline ou gérez des dépôts à l'aide d'automatisations similaires, les mesures immédiates recommandées par les équipes d'intervention et les chercheurs sont claires : mise à jour de la version corrigée, examen de l'environnement par les installations inattendues OpenClaw et suppression de tout composant non requis, rotation des jetons et des identifiants qui peuvent avoir été exposés, et resserrer les workflows de sorte que les agents IA ne reçoivent pas la permission d'exécuter du code avec les privilèges de publication. Il convient également d'adopter l'OIDC pour la publication de GitHub Actions et de désactiver la publication par des jetons traditionnels dans la mesure du possible, ainsi que d'ajouter des attestations et des contrôles de signature sur les pipelines de livraison.

Cet incident souligne que l'adoption de l'IA dans le développement et les opérations apporte des avantages, mais introduit également de nouveaux vecteurs d'attaque. La sécurité de la chaîne d'approvisionnement n'est plus seulement la responsabilité des porteurs de paquets : elle implique des équipes d'en bas, des développeurs et les plateformes elles-mêmes qui orchestrent les automatismes. Le maintien de la confiance dans les paquets que nous installons nécessite, plus que jamais, de bons contrôles sur qui ou ce que vous pouvez publier, la traçabilité des publications et des audits réguliers des flux automatisés.