Programming, programmer, a person coding

Le package npm compromis installe silencieusement OpenClaw sur les machines des développeurs

Lucas Morel

Bien que l’IA elle-même n’ait pas été militarisée, la technique soulève des inquiétudes concernant les agents IA disposant d’un large accès au système.

Un nouveau contournement de sécurité oblige les utilisateurs à installer l’agent AI OpenClaw, qu’ils le veuillent ou non.

Les chercheurs ont découvert qu’un jeton de publication npm compromis a poussé une mise à jour pour l’interface de ligne de commande (CLI) Cline largement utilisée contenant un script de post-installation malveillant. Ce script installe l’application agentique OpenClaw, très populaire mais de plus en plus condamnée, sur la machine de l’utilisateur sans méfiance.

Cela peut être extrêmement dangereux, car OpenClaw dispose d’un large accès au système et d’intégrations approfondies avec des plateformes de messagerie telles que WhatsApp, Telegram, Slack, Discord, iMessage, Teams et autres.

Selon une étude menée par la plateforme de sécurité Socket, le script est resté actif pendant huit heures dans le registre.

Il convient de souligner que, dans ce cas, OpenClaw n’était pas intrinsèquement malveillant. Cependant, cela représente encore un autre chapitre dans la saga fragile de la sécurité d’OpenClaw, et des situations comme celle-ci pourraient lui valoir le statut d’« application potentiellement indésirable » (PUA).

« Je veux dire, ils ont effectivement transformé OpenClaw en un malware que l’EDR (endpoint Detection and Response) ne va pas arrêter », a déclaré David Shipley de Beauceron Security. C’est « sournoisement, terriblement brillant ».

Les utilisateurs adorent OpenClaw ; les attaquants le font aussi

OpenClaw (anciennement Clawdbot et Moltbot) est un agent d’IA autonome, open source et gratuit, lancé le 29 janvier et devenu viral presque immédiatement. Selon son développeur, Peter Steinberger, son dépôt a reçu plus de 2 millions de visiteurs en une seule semaine et on estime qu’il a été téléchargé 720 000 fois par semaine.

OpenClaw s’exécute localement sur le matériel d’un utilisateur plutôt que dans le cloud, et peut effectuer des actions autonomes et réelles en son nom, telles que lire des e-mails, parcourir des pages Web, exécuter des applications ou gérer des calendriers.

Cependant, presque immédiatement après sa sortie, il a soulevé de sérieux problèmes de sécurité : il est sujet à des attaques par injection rapide, à des contournements d’authentification et à des falsifications de requêtes côté serveur (SSRF), entre autres attaques. De nombreuses entreprises ont réagi en limitant sévèrement, voire en interdisant carrément, l’agent IA.

Alors que, dans le cas de Cline, il était simplement installé, mais pas intrinsèquement malveillant, « l’attaquant avait la possibilité d’installer n’importe quoi », a écrit Sarah Gooding de Socket. « Cette fois, c’était OpenClaw. La prochaine fois, ce pourrait être quelque chose de malveillant. »

La CLI Cline est largement utilisée dans l’écosystème des développeurs, avec environ 90 000 téléchargements hebdomadaires depuis npm. Le jeton compromis a poussé cline@2.3.0, qui contenait un package.json modifié avec un script de post-installation qui a installé la dernière version d’OpenClaw, vers le registre npm. L’ajout de ce script était la seule modification apportée au package ; sinon, le binaire CLI et les autres contenus étaient identiques à la version précédente légitime, a noté Gooding, ce qui rendait facile de les manquer.

Le paquet compromis a été publié le 17 février, bien que le problème sous-jacent ait été découvert six semaines auparavant par le chercheur en sécurité Adnan Khan. Le package est resté actif dans le registre pendant environ huit heures avant de devenir obsolète et Cline a publié une version corrigée (2.4.0).

Khan avait initialement publié ses recherches sur le flux de travail vulnérable le 9 février, après des tentatives infructueuses pour obtenir une réponse à ses rapports de Cline, et Cline l’a corrigé en 30 minutes. Cependant, même si le correctif a fermé le point d’entrée, le jeton aurait pu être volé lors de la reconnaissance initiale d’un attaquant, ce qui signifie que le correctif est arrivé trop tard pour empêcher la publication du 17 février (qui, en fin de compte, était le jour où il a été exploité).

« Cline n’avait aucun script d’installation préalable, donc l’apparition d’un nouveau signal était un signal anormal qui méritait d’être étudié », a noté Gooding, ajoutant que Socket a marqué la publication non autorisée comme malware.

Pour les développeurs qui ont installé ou mis à jour la CLI Cline dans un délai d’environ huit heures le 17 février, Socket conseille :

  • Mise à jour vers la dernière version : npm install « -g cline@latest ».
  • Si vous utilisez la version 2.3.0, mettez à jour vers la version 2.4.0 ou supérieure.
  • Recherchez et supprimez immédiatement OpenClaw s’il n’a pas été installé intentionnellement (« npm uninstall -g openclaw »).

Gooding a noté que « rien ne s’exécutait automatiquement au-delà de l’installation », mais a ajouté qu’il existait toujours un risque : « OpenClaw est un outil agent performant doté de larges autorisations système, et non un package trivial déposé silencieusement sur la machine d’un développeur. »

Un scénario sans issue

L’EDR, la détection et la réponse gérées (MDR) et d’autres fournisseurs de sécurité seront obligés de déclarer OpenClaw soit comme un PUA, soit comme « un malware, ce qui, honnêtement, cela peut être le cas », a déclaré Shipley, ou ce type d’attaque gagnera.

« Je déteste le donner aux attaquants, mais il faut en quelque sorte le faire sur celui-ci », a-t-il déclaré. « C’est pourquoi l’IA agentique va attirer autant de personnes. »

En fin de compte, c’est un scénario sans issue, a noté Shipley, en particulier si une organisation était « assez stupide » pour avoir autorisé OpenClaw dans son environnement d’entreprise et y avoir construit des processus de travail dépendants de l’entreprise.

Comme il l’a dit : « Les attaquants ont combiné les deux plus grands incendies de bennes à ordures en 2026 en matière de cybersécurité pour créer un incendie de décharge à l’échelle de la ville en enchaînant les piratages de la chaîne d’approvisionnement via NPM et le désastre de l’agent d’IA codé par une vibration brûlante d’OpenClaw. »

Intelligence artificielleSource ouverteDéveloppement de logicielsVulnérabilitésSécurité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

A photograph of a row of Ethernet cables plugged into ports, with a warning sign illuminated above one of the ports.
Une vulnérabilité Telnet ouvre la porte à l’exécution de code à distance en tant que root
Cisco building exterior with sign
Un groupe de ransomwares a exploité la vulnérabilité du pare-feu Cisco comme un jour zéro, des semaines avant l’apparition d’un correctif
Hacker vor Computer
La réalité de l’espionnage : votre infrastructure est déjà en cours de collecte