Token npm da ferramenta de IA Cline é comprometido em ataque à cadeia de suprimentos
Um token de publicação npm foi comprometido, dando a atacantes acesso temporário – mas preocupante – ao pacote CLI da ferramenta de desenvolvimento com IA Cline. O incidente, que durou aproximadamente 8 horas no dia 17 de fevereiro de 2026, expôs desenvolvedores que instalaram a versão maliciosa durante essa janela, destacando os riscos crescentes de ataques à cadeia de suprimentos no ecossistema de ferramentas para desenvolvedores.
O que aconteceu
Em 17 de fevereiro, às 3h26 (PT), uma parte não autorizada utilizou um token de publicação npm roubado para enviar uma versão maliciosa do Cline CLI para o registro público npm como cline@2.3.0. O Cline é um assistente de codificação com IA popular, integrado a ambientes como VS Code e JetBrains.
O atacante modificou apenas um arquivo: o package.json. A alteração injetou um script postinstall que, silenciosamente, executava npm install -g openclaw@latest toda vez que o pacote era instalado. Todo o resto do conteúdo do pacote, incluindo o binário CLI principal (dist/cli.mjs), permaneceu idêntico à versão legítima anterior, cline@2.2.3.
Escopo e resposta
A equipe do Cline detectou a versão adulterada e publicou uma versão corrigida (2.4.0) às 11h23 (PT), com a versão comprometida 2.3.0 sendo descontinuada às 11h30 (PT) – cerca de 8 horas após a publicação não autorizada. O token comprometido foi revogado e o projeto migrou seu processo de publicação npm para usar proveniência OIDC via GitHub Actions, fortalecendo o pipeline de lançamento.
É importante notar que a extensão do Cline para VS Code e o plugin para JetBrains não foram afetados por este incidente, pois são distribuídos por canais separados.
Implicações e riscos ampliados
Embora o pacote openclaw instalado seja descrito como legítimo e não malicioso, sua instalação não autorizada levanta sérias preocupações. O incidente demonstra com clareza como um vetor de ataque à cadeia de suprimentos pode ser utilizado para introduzir qualquer payload. Em um cenário mais malicioso, o script poderia ter baixado um malware completo, um cryptominer ou um infostealer.
O ataque explora a confiança implícita que desenvolvedores depositam em pacotes de ferramentas essenciais e na segurança do registro npm. A janela de 8 horas, embora curta, foi suficiente para potencialmente infectar milhares de máquinas de desenvolvedores e, por extensão, os pipelines de CI/CD das organizações que utilizam a ferramenta.
Recomendações para desenvolvedores e empresas
Ações imediatas:
- Desenvolvedores que instalaram
cline@2.3.0durante a janela de risco devem atualizar imediatamente para a versão mais recente usandocline updateounpm install -g cline@lateste verificar a versão comcline --version. - Se o pacote
openclawfoi instalado inadvertidamente, ele pode ser removido comnpm uninstall -g openclaw.
Medidas de segurança de longo prazo:
- Higiene de tokens: Organizações devem auditar e reforçar a gestão de tokens de acesso a registros (npm, PyPI, etc.), utilizando autenticação forte e revogando tokens não utilizados.
- Proveniência e assinatura: Adotar mecanismos de proveniência como OIDC e assinatura de pacotes para verificar a autenticidade das publicações.
- Monitoramento de pipelines: Implementar ferramentas de Software Composition Analysis (SCA) e monitoramento de comportamento em pipelines de CI/CD para detectar instalações de pacotes não autorizados ou suspeitos.
- Políticas de segurança: Estabelecer políticas que restrinjam a instalação de pacotes globais ou de ferramentas de terceiros em ambientes de produção sem revisão prévia.
Este caso serve como um alerta contundente: a cadeia de suprimentos de desenvolvimento moderno, fortemente dependente de pacotes de código aberto e ferramentas de produtividade, é um alvo de alto valor. A segurança desses ecossistemas é uma responsabilidade compartilhada entre mantenedores, registros e consumidores finais.