Apa yang terjadi
Claude Code versi 2.1.38 hingga 2.1.162 memungkinkan pembuatan git worktree bernama '.git' dan navigasi ke worktree di luar konteks sandbox, mengaktifkan git directory confusion attacks. Repositori berbahaya dapat menggabungkan prompt injection dalam CLAUDE.md dengan konfigurasi git yang dikendalikan penyerang sehingga operasi worktree memicu eksekusi perintah core.fsmonitor, mengikuti symlink ke direktori home pengguna, dan menimpa file startup shell seperti ~/.zshenv. Karena zsh melakukan sourcing file-file tersebut sebelum pembatasan seatbelt macOS diterapkan pada Bash tool payloads, kode penyerang berjalan di luar sandbox bahkan ketika sandbox mode sepenuhnya diaktifkan. Perbaikannya menolak '.git' sebagai nama worktree yang valid.
Mengapa penting
Ini adalah prompt-injection-to-sandbox-escape chain: developer yang mengkloning repo berbahaya dan menjalankan Claude Code terhadapnya dapat memiliki sistem host mereka sepenuhnya dikompromikan. Serangan ini membypass mode izin read-only dan sandbox seatbelt macOS penuh, memberikan penyerang kontrol file startup shell yang persisten pada mesin developer. Claude Code digunakan di ribuan workstation developer enterprise, menjadikan ini risiko supply-chain dengan blast-radius tinggi.
Vektor serangan
Penyerang menanam CLAUDE.md berbahaya (prompt injection) dan konfigurasi git buatan dalam repositori; ketika developer menjalankan Claude Code terhadapnya, operasi worktree memicu eksekusi core.fsmonitor, symlink traversal ke direktori home, dan penimpa ~/.zshenv, mengeksekusi kode di luar sandbox.
Sistem yang terdampak
@anthropic-ai/claude-code 2.1.38 – 2.1.162
Mitigasi
Upgrade ke @anthropic-ai/claude-code ≥ 2.1.163. Pengguna auto-update menerima perbaikan secara otomatis. Advisory: https://github.com/anthropics/claude-code/security/advisories/GHSA-7835-87q9-rgvv