技術的な説明
Mitiga Labs の研究者(2026年5月12日に開示、現在CSO Online により6月5日に広く流布)が、ポストインストールフックを含む悪質なnpmパッケージが ~/.claude.json を静かに上書きできることを実証しました。このファイルはClaude CodeがすべてのMCP(Model Context Protocol)トラフィックをルーティングする方法を制御する設定ファイルです。上書きされたファイルは、Claude Codeの認証済みリクエストを正規のSaaSエンドポイントの代わりに攻撃者が管理するインフラストラクチャにリダイレクトします。すべての接続されたサービス(Jira、Confluence、GitHub、データベース、内部API)のOAuthベアラートークンが転送中にインターセプトされます。重大なことに、プロバイダー側の監査ログは攻撃者のリクエストがAnthropicの正規のエグレスIPレンジから有効なユーザーセッションで発信されたものと表示され、攻撃者はログに見えません。Anthropicは、この攻撃が同意されたパッケージインストールを経由した事前コード実行を必要とすることを理由に、パッチを適用することを拒否しました。
攻撃経路
隠された多機能ポストインストールフックを持つ悪質なnpmパッケージが ~/.claude.json を上書きしてMCPトラフィックを攻撃者インフラに指向させます。npm installワークフロー中の任意の時点でトリガーされます。昇格された権限は不要です。設定ファイルは設計上ユーザーが書き込み可能です。同じファイル内のOAuthトークンはインターセプトされ、トークンローテーション試行後でもフックが後続のOAuthフローを再度インターセプトする可能性があるため、長寿命のSaaSアクセスに使用可能です。
影響を受けるシステム
Anthropic Claude Code CLI(2026年6月6日現在のすべてのバージョン)。Claude Code MCP統合が設定されている間に信頼できないパッケージのnpm installを実行した任意の開発者環境。OAuth トークンを ~/.claude.json に保存している接続されたSaaSプラットフォーム(Jira、Confluence、GitHub、データベース)。
緩和策
2026年6月6日現在、Anthropicからのパッチはありません。推奨される軽減策:(1)ファイル整合性監視またはauditdを使用して ~/.claude.json の予期しない変更を監視する。(2)正規のMCPサーバーエンドポイントをベースライン化し、変更についてアラートを生成する。(3)--ignore-scriptsフラグを使用してnpmポストインストールスクリプトを無効化または監査する。(4)信頼できないパッケージをインストール後にOAuthトークンをローテーションし、ローテーション前に ~/.claude.json の整合性を検証する。(5)Claude Codeを分離された開発者環境またはコンテナに制限することを検討する。