Ein Angreifer hat die npm-Version 2.3.0 des KI-Coding-Tools Cline kompromittiert und OpenClaw installiert. Das Malware-ähnliche Programm hatte Vollzugriff auf Benutzersysteme und wurde etwa 4.000-mal heruntergeladen, bevor es entfernt wurde.
Ein raffinierter Supply-Chain-Angriff hat diese Woche das beliebte Open-Source-KI-Entwicklungstool Cline getroffen. Cybersicherheitsfirmen entdeckten, dass die npm-Version 2.3.0 über acht Stunden hinweg eine verdächtige Software namens OpenClaw heimlich mitinstallierte. Nutzer, die sich diese Version herunterlugen, erhielten eine manipulierte Version, die zwar keine klassische Malware darstellte, aber dennoch unerlaubte Installationen auf ihren Systemen vornahm.
Die Attacke basierte auf einer Anfang des Monats von Sicherheitsforscher Adnan Khan veröffentlichten Schwachstelle in Clinas Claude Issue Triage-Workflow. Zwischen dem 21. Dezember 2025 und dem 9. Februar 2026 ermöglichte eine Prompt-Injection-Anfälligkeit es jedem Angreifer mit GitHub-Konto, Cline-Releases zu kompromittieren und Malware an Millionen von Entwicklern zu verbreiten. Nach Khans Veröffentlichung patcht Cline die Lücke zwar schnell — doch ein unbekannter Akteur nutzte diese Gelegenheit, um ein npm-Veröffentlichungstoken zu stehlen und OpenClaw in Version 2.3.0 einzuschleusen.
Der Sicherheitsforscher Henrik Plate von Endor Labs erklärte, dass die manipulierte Version einen Post-Install-Hook nutzte, um OpenClaw stillschweigend zu installieren. Obwohl OpenClaw selbst nicht bösartig ist, unterstreicht der Vorfall die Notwendigkeit, dass Paketbetreuer Trusted Publishing aktivieren und traditionelle Token deaktivieren sollten.
Laut Analyse von StepSecurity wurde die kompromittierte Version etwa 4.000-mal innerhalb von acht Stunden heruntergeladen, bevor sie entfernt wurde. Besonders bemerkenswert: OpenClaw besitzt umfangreiche Systemberechtigungen und Vollzugriff auf die Festplatte. Die Software etabliert zudem einen persistenten Gateway-Daemon, der als WebSocket-Server im Hintergrund läuft — ein ideales Werkzeug für Angreifer, um auf kompromittierten Systemen Fuß zu fassen, Zugangsdaten zu stehlen und Entwicklungsumgebungen zu manipulieren.
Cline veröffentlichte eine Sicherheitsmitteilung und brachte Version 2.4.0 heraus. Das betroffene Token wurde widerrufen und das npm-Publishing nutzt nun OIDC-Authentifizierung über GitHub Actions. Nutzer sollten schnellstmöglich auf diese Version aktualisieren und ihre Systeme auf unerwünschte OpenClaw-Installationen überprüfen.
Quelle: Dark Reading