AI Dev Tool Cline’s npm Token Hijacked by Hackers for 8 Hours
2026/02/19 CyberSecurityNews — Cline CLI npm パッケージへの攻撃が、2026年2月17日の約 8 時間にわたり発生し、懸念すべき状況が引き起こされた。侵害された publish トークンを介したインシデントが浮き彫りにするのは、開発者向けツール・エコシステムを狙うサプライチェーン攻撃リスクの拡大である。
2月17日午前3時26分 (PT) に、盗まれた npm publish トークンを悪用する未承認の第三者が悪意の活動を実行した。VS Code および JetBrains 環境で利用される、人気の AI コーディング・アシスタント Cline CLI の悪意のバージョンを、npm レジストリへ cline@2.3.0 として公開したのだ。
この攻撃者が改竄したのは、package.json ファイルのみである。具体的には、postinstall スクリプトを挿入し、インストール時に “npm install -g openclaw@latest” を密かに実行するよう改変した。その他のパッケージ内容や、コア CLI バイナリである “dist/cli.mjs” などは、正規版 cline@2.2.3 と同一であった。
OpenClaw 自体は、正規のオープンソース・パッケージであり、悪意のものではないと説明されているが、不正なインストールにより重大な懸念が生じる。将来において、同様の手法が危険なペイロード配布に置き換えられる可能性があるためである。
この改竄版のリリースを速やかに検知した Cline チームは、午前11時23分 (PT) の時点で修正版 2.4.0 を公開した。その後の午前11時30分 (PT) には、侵害された 2.3.0 を非推奨化した。不正な公開から約 8 時間後に、一連の対処が完了した。
侵害されたトークンは、すでに失効済みにされている。さらに、今後のリリース・パイプライン強化のために、GitHub Actions を用いた OIDC provenance へと、npm での公開方式が移行された。
なお、Cline の VS Code エクステンションおよび JetBrains プラグインは、この件の影響を受けていない。
この問題が発生した時間帯に cline@2.3.0 をインストールした開発者は、直ちに最新版へと更新する必要がある。そのためのコマンドは、”cline update” または “npm install -g cline@latest” である。バージョン確認は、”cline –version” で実施できる。
意図せず OpenClaw がインストールされた場合には、”npm uninstall -g openclaw” により削除が可能である。
AI 開発ツールをパイプラインで利用している組織は、インストール済みの CLI ツールの監査を実施すべきである。また、すべてのパッケージ・レジストリにおける、トークン管理の徹底が必要である。
このインシデントは、Cline CLI の npm publish トークンが侵害されたところから始まりました。この盗み出したトークンを悪用する攻撃者は、cline@2.3.0 として改竄版を公開しました。そこでの改ざんにより、”package.json” に postinstall スクリプトが追加され、密かに “openclaw@latest” をインストールするよう仕向けられました。コアバイナリは正規版と同一でしたが、インストール時に任意のコードを実行できる構造に問題があります。サプライチェーンにおけるトークン管理と公開パイプライン保護の不備が、今回のリスク拡大の要因となりました。ご利用のチームは、ご注意ください。よろしければ、OpenClaw での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.