17 Şubat 2026 tarihinde, Cline CLI paketinin 2.3.0 sürümü, yetkisiz bir saldırgan tarafından ele geçirilen npm yayınlama tokenı kullanılarak değiştirilmiş bir versiyonla yayımlandı. Bu güncelleme, geliştirici makinelerine OpenClaw adlı otonom yapay zeka ajanını yükleyen bir postinstall betiği içeriyordu. OpenClaw, kötü amaçlı yazılım olarak sınıflandırılmasa da, yetkisiz ve amaç dışı kurulumlar tedarik zinciri saldırısının temelini oluşturdu.
Saldırının Genel Çerçevesi
Saldırı, 03:26 PT ile 11:30 PT arasında yaklaşık sekiz saat boyunca aktifti ve bu süre zarfında 2.3.0 sürümü yaklaşık 4.000 kez indirildi. Cline paket bakımcıları, 2.4.0 sürümünü hızlıca yayımlayarak 2.3.0 sürümünü kullanımdan kaldırdı ve ele geçirilen tokenı iptal etti. Ayrıca npm yayınlama mekanizması GitHub Actions üzerinden OpenID Connect (OIDC) desteği ile güçlendirildi.
Saldırı Zinciri ve Teknik Detaylar
Bu tedarik zinciri saldırısının temelinde, GitHub üzerinde çalışan otomatik iş akışlarında bulunan bir zafiyet yer alıyor. Saldırganlar, “Clinejection” olarak adlandırılan bir prompt injection yöntemiyle, GitHub sorun başlıklarına gömülü kötü niyetli komutlar çalıştırarak depo kimlik doğrulama tokenlarını çaldılar. Bu süreç şu adımlardan oluştu:
- Claude adlı AI ajanının aşırı izinlerle yapılandırılması ve rastgele kod çalıştırma yetkisi verilmesi.
- GitHub’ın En Az Kullanılan (LRU) önbellek temizleme politikasını tetiklemek için önbelleğin 10GB’den fazla gereksiz veri ile doldurulması.
- Gece yayın iş akışında zehirlenmiş önbellek girdilerinin kullanılması.
- Ele geçirilen tokenlarla npm üzerinde kötü amaçlı 2.3.0 sürümünün yayımlanması.
Bu saldırı zinciri, GitHub Actions önbellek zehirlenmesini kullanarak düşük ayrıcalıklı iş akışlarından yüksek ayrıcalıklı yayınlama iş akışlarına geçiş yapılmasını sağladı. Böylece saldırganlar, üretim sürümlerinde kullanılan yayınlama tokenlarını ele geçirdi.
Hangi Sistemler Risk Altında?
Bu saldırı, Cline CLI 2.3.0 sürümünü yükleyen tüm geliştirici makinelerini etkiledi. Ancak Cline’ın Visual Studio Code uzantısı ve JetBrains eklentileri bu saldırıdan etkilenmedi. OpenClaw kurulumu, Gateway daemon kurulumu veya başlatılmasını içermediğinden, doğrudan sistem kontrolü sağlamıyor. Yine de, yetkisiz yazılım kurulumu nedeniyle güvenlik riski oluşturuyor.
Siber Güvenlik Ekipleri İçin Öneriler
- Cline CLI kullanıcıları, paketlerini derhal 2.4.0 sürümüne güncellemeli.
- Geliştirici ortamlarında beklenmedik OpenClaw kurulumları kontrol edilmeli ve gerekmiyorsa kaldırılmalı.
- Yayınlama tokenlarının güvenliği artırılmalı, geleneksel tokenlar yerine OIDC tabanlı kimlik doğrulama tercih edilmeli.
- GitHub Actions iş akışlarında aşırı izinler ve önbellek yönetimi dikkatle gözden geçirilmeli.
- EDR ve SIEM sistemlerinde npm paket güncellemeleri ve postinstall betikleri için özel uyarılar oluşturulmalı.
- Ağ segmentasyonu ile geliştirici makineleri ve üretim ortamları ayrılmalı.
- Olay müdahale süreçleri, tedarik zinciri saldırılarına karşı güncellenmeli ve test edilmeli.
Teknik Özet
- Kullanılan araçlar: OpenClaw (AI ajanı), Claude (GitHub iş akışı AI ajanı), PromptPwnd (prompt injection framework)
- Hedef: npm paket yayınlama süreci ve geliştirici makineleri
- Zafiyet: GitHub Actions iş akışlarında aşırı izinler ve önbellek zehirlenmesi
- Saldırı zinciri: Prompt injection ile token çalma, önbellek zehirlenmesi, kötü amaçlı paket yayınlama
- Önerilen savunma: OIDC tabanlı kimlik doğrulama, iş akışı izinlerinin kısıtlanması, düzenli güvenlik denetimleri
Son raporlar, bu tür tedarik zinciri saldırılarının giderek karmaşıklaştığını ve yazılım geliştirme süreçlerinde güvenlik önlemlerinin artırılması gerektiğini gösteriyor. Özellikle npm gibi yaygın kullanılan paket yöneticilerinde yayınlama mekanizmalarının sıkılaştırılması, e-posta güvenliği ve bulut güvenliği uygulamalarının entegre edilmesi kritik önem taşıyor.