В реестре npm восемь часов подряд раздавали взломанную версию популярного ИИ-инструмента

В реестре npm произошёл инцидент с инструментом Cline CLI — в течение нескольких часов пользователям распространяли версию с изменённым сценарием установки. Разработчики подтвердили, что доступ к токену публикации оказался скомпрометирован, после чего стороннее лицо выложило модифицированный релиз.

Проблема затронула пакет cline версии 2.3.0, опубликованный 17 февраля 2025 года в 3:26 по тихоокеанскому времени. В файл package.json добавили дополнительный postinstall-скрипт, который при установке автоматически запускал команду установки другого пакета — openclaw — в глобальном режиме. При этом остальные файлы, включая исполняемый модуль dist/cli.mjs, полностью совпадали с предыдущим легитимным релизом 2.2.3.

Проект openclaw не связан с Cline и не содержит вредоносного кода, однако его установка не была согласована с командой. Таким образом, речь идёт не о внедрении вредоноса, а о несанкционированном изменении цепочки поставок программного обеспечения.

Уязвимая версия оставалась доступной около восьми часов — до 11:30 того же дня. В 11:23 разработчики выпустили исправленный релиз 2.4.0, а версию 2.3.0 вскоре пометили как устаревшую. Скомпрометированный токен отозвали. Теперь публикация пакетов выполняется с использованием механизма OIDC-подтверждения через GitHub Actions, что должно снизить риск повторения подобного сценария.

Инцидент касается только CLI-пакета cline в npm. Расширение Cline для Visual Studio Code и плагин для JetBrains не затронуты. Пользователям, которые установили cline[@]2.3.0 в промежутке между 3:26 и 11:30 17 февраля, рекомендуют обновить инструмент до актуальной версии и проверить, не появился ли в системе глобально установленный openclaw. При необходимости его можно удалить стандартной командой npm.