Tấn công chuỗi cung ứng npm: Nguy hiểm từ Cline CLI
Vào ngày 17 tháng 2 năm 2026, một sự cố tấn công chuỗi cung ứng nghiêm trọng đã nhắm vào gói npm của Cline CLI, một trợ lý mã hóa AI phổ biến. Sự việc này đã cho phép kẻ tấn công truy cập ngắn hạn nhưng đáng lo ngại vào gói Cline CLI npm thông qua một publish token bị xâm phạm. Các nhà phát triển đã cài đặt gói này trong khung thời gian 8 giờ bị ảnh hưởng cần đặc biệt chú ý đến bảo mật npm và các biện pháp khắc phục.
Sự cố này làm nổi bật rủi ro ngày càng tăng của các cuộc tấn công chuỗi cung ứng nhắm vào hệ sinh thái công cụ dành cho nhà phát triển.
Tổng quan sự cố tấn công Cline CLI
Vào lúc 3:26 sáng PT ngày 17 tháng 2 năm 2026, một bên không được ủy quyền đã lợi dụng một npm publish token bị đánh cắp để đẩy một phiên bản độc hại của Cline CLI lên npm registry. Phiên bản này được định danh là [email protected].
Cline CLI là một công cụ trợ lý mã hóa AI được sử dụng rộng rãi trong các môi trường phát triển như VS Code và JetBrains.
Cơ chế khai thác và bản chất xâm nhập
Kẻ tấn công chỉ sửa đổi một tệp duy nhất trong gói npm: tệp package.json. Chúng đã chèn một script postinstall, được thiết kế để tự động thực thi sau khi cài đặt gói. Script này có tác vụ cài đặt âm thầm gói openclaw@latest trên hệ thống của nhà phát triển:
npm install -g openclaw@latestTất cả các nội dung khác của gói [email protected], bao gồm cả binary CLI lõi (dist/cli.mjs), vẫn hoàn toàn giống với bản phát hành hợp lệ trước đó là [email protected].
Mặc dù OpenCLAW được mô tả là một gói mã nguồn mở hợp pháp và không độc hại, việc cài đặt trái phép gói này trong một cuộc tấn công chuỗi cung ứng đã tạo ra rủi ro bảo mật nghiêm trọng. Điều này cho thấy tiềm năng cho các payload nguy hiểm hơn trong các cuộc tấn công tương tự trong tương lai.
Thời gian phát hiện và phản ứng của nhóm Cline
Nhóm Cline đã nhanh chóng phát hiện ra phiên bản bị can thiệp và công bố một bản sửa lỗi (2.4.0) vào lúc 11:23 sáng PT cùng ngày. Phiên bản 2.3.0 bị xâm phạm đã được đánh dấu là deprecated (không khuyến nghị sử dụng) vào lúc 11:30 sáng PT, khoảng 8 giờ sau khi được công bố trái phép.
Tham khảo chi tiết về sự cố trên GitHub Security Advisory: GHSA-9ppg-jx86-fqw7.
Token bị xâm phạm đã ngay lập tức bị thu hồi. Để tăng cường khả năng phòng vệ chống lại các cuộc tấn công chuỗi cung ứng tương tự, dự án đã chuyển quá trình publish gói npm sang OIDC provenance thông qua GitHub Actions. Biện pháp này giúp tăng cường đáng kể tính bảo mật cho quy trình phát hành trong tương lai, giảm thiểu rủi ro từ các token bị đánh cắp.
Điều quan trọng cần lưu ý là tiện ích mở rộng Cline VS Code và plugin JetBrains của Cline không bị ảnh hưởng bởi sự cố này, vì cuộc tấn công chỉ nhắm vào gói npm CLI.
Biện pháp khắc phục và phòng ngừa cho nhà phát triển
Hành động ngay lập tức đối với nhà phát triển bị ảnh hưởng
Các nhà phát triển đã cài đặt [email protected] trong khoảng thời gian bị ảnh hưởng (từ 3:26 AM PT đến 11:30 AM PT ngày 17 tháng 2 năm 2026) cần thực hiện các hành động sau ngay lập tức:
- Cập nhật lên phiên bản mới nhất của Cline CLI bằng lệnh sau:
cline update# Hoặc sử dụng npmnpm install -g cline@latest- Xác nhận phiên bản đã được cập nhật thành công:
cline --version- Nếu gói OpenCLAW đã bị cài đặt không mong muốn, hãy gỡ bỏ nó:
npm uninstall -g openclawViệc này rất quan trọng để đảm bảo an toàn thông tin cho môi trường phát triển của bạn và tránh những rủi ro bảo mật tiềm ẩn.
Tăng cường bảo mật npm và quy trình CI/CD
Các tổ chức sử dụng các công cụ AI dành cho nhà phát triển trong các quy trình CI/CD của họ nên thực hiện kiểm tra định kỳ các công cụ CLI đã cài đặt. Đồng thời, cần thực thi chính sách quản lý token chặt chẽ trên tất cả các npm registry để giảm thiểu nguy cơ tấn công chuỗi cung ứng.
Việc áp dụng OIDC provenance, như nhóm Cline đã thực hiện, là một bước tiến quan trọng trong việc tăng cường bảo mật npm, giúp loại bỏ sự phụ thuộc vào các token tĩnh có thể bị đánh cắp.
Chỉ số thỏa hiệp (IOCs)
Mặc dù OpenCLAW không phải là mã độc theo định nghĩa truyền thống, nhưng việc cài đặt trái phép của nó thông qua một tấn công chuỗi cung ứng là một chỉ số thỏa hiệp. Đây là một dấu hiệu rõ ràng của một hệ thống bị xâm nhập.
- Gói npm bị cài đặt trái phép:
openclaw@latest - Phiên bản Cline CLI bị sửa đổi:
[email protected]
Các tổ chức nên quét và kiểm tra môi trường phát triển của mình để phát hiện sự hiện diện của các gói này nếu chúng được cài đặt trong khung thời gian bị ảnh hưởng. Đây là một phần thiết yếu của chiến lược an ninh mạng để phát hiện và phản ứng với các mối đe dọa.
