Um Título de Issue do GitHub Comprometou 4.000 Máquinas de Desenvolvedores

Uma versão do Cline publicada no npm em 17 de fevereiro era byte-idêntica à anterior, mas continha uma alteração de uma única linha que instalava o OpenClaw nas máquinas dos usuários. Isso resultou em aproximadamente 4.000 downloads do OpenClaw antes que o pacote fosse removido, destacando uma falha de segurança crítica.

O atacante obteve o token do npm injetando um prompt no título de uma issue do GitHub, que um bot de triagem de IA leu, interpretou como uma instrução e executou, comprometendo as máquinas dos desenvolvedores . Este incidente levanta preocupações significativas sobre a segurança de ferramentas automatizadas e a confiança em repositórios de pacotes.