무슨 일이 있었나
Claude Code 버전 2.1.38부터 2.1.162까지 '.git'라는 이름의 깃 워크트리 생성과 샌드박스 컨텍스트 외부의 워크트리로 이동이 가능하여 깃 디렉터리 혼동 공격을 가능하게 했습니다. 악의적 저장소는 CLAUDE.md의 프롬프트 인젝션과 공격자가 제어하는 깃 구성을 결합하여 워크트리 작업이 core.fsmonitor 명령 실행을 트리거하고, 사용자의 홈 디렉터리로의 심볼릭 링크를 따라가며, ~/.zshenv와 같은 셸 시작 파일을 덮어쓸 수 있습니다. zsh는 macOS seatbelt 제한이 Bash 도구 페이로드에 적용되기 전에 해당 파일을 소싱하기 때문에 샌드박스 모드가 완전히 활성화되어 있어도 공격자 코드가 샌드박스 외부에서 실행됩니다. 수정 사항은 '.git'를 유효한 워크트리 이름으로 거부합니다.
왜 중요한가
이는 프롬프트 인젝션에서 샌드박스 탈출까지의 체인입니다: 악의적 저장소를 복제하고 Claude Code를 실행하는 개발자는 호스트 시스템이 완전히 손상될 수 있습니다. 이 공격은 읽기 전용 권한 모드와 전체 macOS seatbelt 샌드박스를 모두 우회하여 개발자의 머신에 지속적인 셸 시작 파일 제어를 제공합니다. Claude Code는 수천 개의 엔터프라이즈 개발자 워크스테이션에 배포되어 있어 높은 파급력의 공급망 위험입니다.
공격 경로
공격자는 악의적 CLAUDE.md(프롬프트 인젝션)와 제작된 깃 구성을 저장소에 심고, 개발자가 Claude Code를 실행하면 워크트리 작업이 core.fsmonitor 실행, 홈 디렉터리로의 심볼릭 링크 순회, ~/.zshenv 덮어쓰기를 트리거하여 샌드박스 외부에서 코드를 실행합니다.
영향받는 시스템
@anthropic-ai/claude-code 2.1.38 – 2.1.162
완화 방안
@anthropic-ai/claude-code ≥ 2.1.163으로 업그레이드하십시오. 자동 업데이트 사용자는 자동으로 수정 사항을 받았습니다. 권고: https://github.com/anthropics/claude-code/security/advisories/GHSA-7835-87q9-rgvv