⚡ Não perca: notÃcia importante no ar! ⚡
A notÃcia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Em mais um ataque à cadeia de suprimentos de software, o assistente de codificação de código aberto Cline CLI, alimentado por inteligência artificial (IA), foi atualizado para instalar furtivamente o OpenClaw, um agente de IA autônomo auto-hospedado que se tornou extremamente popular nos últimos meses.
“Em 17 de fevereiro de 2026, à s 3h26, horário do PacÃfico, uma parte não autorizada usou um token de publicação npm comprometido para publicar uma atualização do Cline CLI no registro NPM: cline@2.3.0”, disseram os mantenedores do pacote Cline em um comunicado. "O pacote publicado contém um package.json modificado com um script pós-instalação adicionado: 'postinstall": "npm install -g openclaw@latest.'"
Como resultado, isso faz com que o OpenClaw seja instalado na máquina do desenvolvedor quando o Cline versão 2.3.0 for instalado. Cline disse que nenhuma modificação adicional foi introduzida no pacote e não foi observado nenhum comportamento malicioso. No entanto, observou que a instalação do OpenClaw não foi autorizada ou intencional.
O ataque à cadeia de suprimentos afeta todos os usuários que instalaram o pacote Cline CLI publicado no npm, especificamente a versão 2.3.0, durante uma janela de aproximadamente oito horas entre 3h26 PT e 11h30 PT em 17 de fevereiro de 2026. O incidente não afeta a extensão Visual Studio Code (VS Code) da Cline e o plugin JetBrains.
Para mitigar a publicação não autorizada, os mantenedores do Cline lançaram a versão 2.4.0. A versão 2.3.0 foi descontinuada e o token comprometido foi revogado. Cline também disse que o mecanismo de publicação npm foi atualizado para oferecer suporte ao OpenID Connect (OIDC) por meio do GitHub Actions.
Em uma postagem no X, a equipe do Microsoft Threat Intelligence disse ter observado um “pequeno, mas perceptÃvel aumento” nas instalações do OpenClaw em 17 de fevereiro de 2026, como resultado do comprometimento da cadeia de suprimentos do pacote Cline CLI. De acordo com StepSecurity, o pacote Cline comprometido foi baixado cerca de 4.000 vezes durante o perÃodo de oito horas.
Os usuários são aconselhados a atualizar para a versão mais recente, verificar se há qualquer instalação inesperada do OpenClaw em seu ambiente e removê-lo se não for necessário.
“O impacto geral é considerado baixo, apesar das altas contagens de downloads: o OpenClaw em si não é malicioso e a instalação não inclui a instalação/inÃcio do daemon Gateway”, disse Henrik Plate, pesquisador do Endor Labs.
"Ainda assim, este evento enfatiza a necessidade dos mantenedores de pacotes não apenas permitirem a publicação confiável, mas também desabilitarem a publicação por meio de tokens tradicionais - e de os usuários do pacote prestarem atenção à presença (e ausência repentina) de atestados correspondentes."
Aproveitando a Clinejection para vazar segredos de publicação
Embora atualmente não esteja claro quem está por trás da violação do pacote npm e quais eram seus objetivos finais, isso ocorre depois que o pesquisador de segurança Adnan Khan descobriu que os invasores poderiam roubar os tokens de autenticação do repositório por meio de injeção imediata, aproveitando o fato de que ele está configurado para fazer a triagem automática de qualquer problema recebido levantado no GitHub.
“Quando um novo problema é aberto, o fluxo de trabalho dá a Claude acesso ao repositório e um amplo conjunto de ferramentas para analisar e responder ao problema”, explicou Khan. "A intenção: automatizar a primeira resposta para reduzir a carga do mantenedor."
Mas uma configuração incorreta no fluxo de trabalho significou que ele deu a Claude permissões excessivas para realizar a execução arbitrária de código na ramificação padrão. Esse aspecto, combinado com uma injeção imediata incorporada no tÃtulo do problema do GitHub, pode ser explorado por um invasor com uma conta do GitHub para enganar o agente de IA, fazendo-o executar comandos arbitrários e comprometer as versões de produção.
Essa deficiência, que se baseia no PromptPwnd, recebeu o codinome Clinejection. Foi introduzido em um commit de código-fonte feito em 21 de dezembro de 2025. A cadeia de ataque é descrita abaixo -
Solicitar que Claude execute código arbitrário no fluxo de trabalho de triagem de problemas
Remova entradas de cache legÃtimas preenchendo o cache com mais de 10 GB de dados inúteis, acionando a polÃtica de remoção de cache menos usada recentemente (LRU) do GitHub
Definir entradas de cache envenenadas que correspondam às chaves de cache do fluxo de trabalho de lançamento noturno
Aguarde a publicação noturna ser executada por volta das 2h UTC e acione a entrada do cache envenenado
“Isso permitiria que um invasor obtivesse a execução de código no fluxo de trabalho noturno e roubasse os segredos da publicação”, observou Khan. “Se um ator de ameaça obtivesse os tokens de publicação de produção, o resultado seria um ataque devastador à cadeia de suprimentos.”
“Uma atualização maliciosa enviada por meio de credenciais de publicação comprometidas seria executada no contexto de cada desenvolvedor que tivesse a extensão instalada e configurada para atualizar automaticamente.”
Em outras palavras, a sequência de ataque emprega o envenenamento de cache do GitHub Actions para passar do fluxo de trabalho de triagem para um fluxo de trabalho altamente privilegiado, como o Publish Nightly Release e o Publish NPM Nightly w.
“Em 17 de fevereiro de 2026, à s 3h26, horário do PacÃfico, uma parte não autorizada usou um token de publicação npm comprometido para publicar uma atualização do Cline CLI no registro NPM: cline@2.3.0”, disseram os mantenedores do pacote Cline em um comunicado. "O pacote publicado contém um package.json modificado com um script pós-instalação adicionado: 'postinstall": "npm install -g openclaw@latest.'"
Como resultado, isso faz com que o OpenClaw seja instalado na máquina do desenvolvedor quando o Cline versão 2.3.0 for instalado. Cline disse que nenhuma modificação adicional foi introduzida no pacote e não foi observado nenhum comportamento malicioso. No entanto, observou que a instalação do OpenClaw não foi autorizada ou intencional.
O ataque à cadeia de suprimentos afeta todos os usuários que instalaram o pacote Cline CLI publicado no npm, especificamente a versão 2.3.0, durante uma janela de aproximadamente oito horas entre 3h26 PT e 11h30 PT em 17 de fevereiro de 2026. O incidente não afeta a extensão Visual Studio Code (VS Code) da Cline e o plugin JetBrains.
Para mitigar a publicação não autorizada, os mantenedores do Cline lançaram a versão 2.4.0. A versão 2.3.0 foi descontinuada e o token comprometido foi revogado. Cline também disse que o mecanismo de publicação npm foi atualizado para oferecer suporte ao OpenID Connect (OIDC) por meio do GitHub Actions.
Em uma postagem no X, a equipe do Microsoft Threat Intelligence disse ter observado um “pequeno, mas perceptÃvel aumento” nas instalações do OpenClaw em 17 de fevereiro de 2026, como resultado do comprometimento da cadeia de suprimentos do pacote Cline CLI. De acordo com StepSecurity, o pacote Cline comprometido foi baixado cerca de 4.000 vezes durante o perÃodo de oito horas.
Os usuários são aconselhados a atualizar para a versão mais recente, verificar se há qualquer instalação inesperada do OpenClaw em seu ambiente e removê-lo se não for necessário.
“O impacto geral é considerado baixo, apesar das altas contagens de downloads: o OpenClaw em si não é malicioso e a instalação não inclui a instalação/inÃcio do daemon Gateway”, disse Henrik Plate, pesquisador do Endor Labs.
"Ainda assim, este evento enfatiza a necessidade dos mantenedores de pacotes não apenas permitirem a publicação confiável, mas também desabilitarem a publicação por meio de tokens tradicionais - e de os usuários do pacote prestarem atenção à presença (e ausência repentina) de atestados correspondentes."
Aproveitando a Clinejection para vazar segredos de publicação
Embora atualmente não esteja claro quem está por trás da violação do pacote npm e quais eram seus objetivos finais, isso ocorre depois que o pesquisador de segurança Adnan Khan descobriu que os invasores poderiam roubar os tokens de autenticação do repositório por meio de injeção imediata, aproveitando o fato de que ele está configurado para fazer a triagem automática de qualquer problema recebido levantado no GitHub.
“Quando um novo problema é aberto, o fluxo de trabalho dá a Claude acesso ao repositório e um amplo conjunto de ferramentas para analisar e responder ao problema”, explicou Khan. "A intenção: automatizar a primeira resposta para reduzir a carga do mantenedor."
Mas uma configuração incorreta no fluxo de trabalho significou que ele deu a Claude permissões excessivas para realizar a execução arbitrária de código na ramificação padrão. Esse aspecto, combinado com uma injeção imediata incorporada no tÃtulo do problema do GitHub, pode ser explorado por um invasor com uma conta do GitHub para enganar o agente de IA, fazendo-o executar comandos arbitrários e comprometer as versões de produção.
Essa deficiência, que se baseia no PromptPwnd, recebeu o codinome Clinejection. Foi introduzido em um commit de código-fonte feito em 21 de dezembro de 2025. A cadeia de ataque é descrita abaixo -
Solicitar que Claude execute código arbitrário no fluxo de trabalho de triagem de problemas
Remova entradas de cache legÃtimas preenchendo o cache com mais de 10 GB de dados inúteis, acionando a polÃtica de remoção de cache menos usada recentemente (LRU) do GitHub
Definir entradas de cache envenenadas que correspondam às chaves de cache do fluxo de trabalho de lançamento noturno
Aguarde a publicação noturna ser executada por volta das 2h UTC e acione a entrada do cache envenenado
“Isso permitiria que um invasor obtivesse a execução de código no fluxo de trabalho noturno e roubasse os segredos da publicação”, observou Khan. “Se um ator de ameaça obtivesse os tokens de publicação de produção, o resultado seria um ataque devastador à cadeia de suprimentos.”
“Uma atualização maliciosa enviada por meio de credenciais de publicação comprometidas seria executada no contexto de cada desenvolvedor que tivesse a extensão instalada e configurada para atualizar automaticamente.”
Em outras palavras, a sequência de ataque emprega o envenenamento de cache do GitHub Actions para passar do fluxo de trabalho de triagem para um fluxo de trabalho altamente privilegiado, como o Publish Nightly Release e o Publish NPM Nightly w.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #cline #cli #2.3.0 #supply #chain #attack #instalou #openclaw #em #sistemas #de #desenvolvedores
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário