Penjelasan teknis
Peneliti di Mitiga Labs (diungkap 12 Mei, kini beredar luas oleh CSO Online 5 Juni) menunjukkan bahwa paket npm berbahaya yang berisi post-install hook dapat diam-diam menulis ulang ~/.claude.json — file konfigurasi yang mengontrol bagaimana Claude Code merutekan semua lalu lintas MCP (Model Context Protocol). File yang ditulis ulang mengarahkan permintaan terautentikasi Claude Code ke infrastruktur yang dikendalikan penyerang daripada endpoint SaaS yang sah. Token pembawa OAuth untuk semua layanan yang terhubung (Jira, Confluence, GitHub, basis data, API internal) dicegat saat transit. Yang kritis, log audit pihak penyedia menunjukkan permintaan penyerang berasal dari rentang IP egress Anthropic yang sah dengan sesi pengguna yang valid — penyerang tidak terlihat dalam log. Anthropic menolak untuk menambal, dengan alasan serangan memerlukan eksekusi kode sebelumnya melalui instalasi paket yang dikonsensikan.
Vektor serangan
Paket npm berbahaya dengan post-install hook tersembunyi menulis ulang ~/.claude.json untuk mengarahkan lalu lintas MCP ke infrastruktur penyerang; dipicu selama alur kerja npm install apa pun. Tidak ada hak istimewa yang ditingkatkan — file konfigurasi dapat ditulis oleh pengguna sesuai desain. Token OAuth dalam file yang sama dicegat dan dapat digunakan untuk akses SaaS berumur panjang bahkan setelah upaya rotasi token, karena hook dapat mencegat kembali alur OAuth berikutnya.
Sistem yang terdampak
Anthropic Claude Code CLI (semua versi per 6 Juni 2026); lingkungan pengembang apa pun yang telah menjalankan npm install dari paket yang tidak dipercaya sementara integrasi MCP Claude Code dikonfigurasi; platform SaaS yang terhubung (Jira, Confluence, GitHub, basis data) menggunakan token OAuth yang disimpan di ~/.claude.json.
Mitigasi
Tidak ada patch dari Anthropic per 6 Juni. Mitigasi yang direkomendasikan: (1) memantau ~/.claude.json untuk modifikasi yang tidak diharapkan menggunakan pemantauan integritas file atau auditd; (2) membangun garis dasar endpoint server MCP yang sah dan memberi peringatan pada perubahan; (3) menonaktifkan atau mengaudit skrip post-install npm menggunakan flag --ignore-scripts; (4) merotasi token OAuth setelah instalasi paket yang tidak dipercaya dan memverifikasi integritas ~/.claude.json sebelum rotasi; (5) pertimbangkan pembatasan Claude Code ke lingkungan pengembang terisolasi atau kontainer.