기술 설명
Claude Code는 MCP 구성과 OAuth 토큰을 ~/.claude.json에 적절한 무결성 보호 없이 저장합니다. 악의적인 npm 패키지를 설치하거나 구성 파일을 수정할 수 있는 공격자는 MCP 트래픽을 공격자 제어 인프라를 통해 리다이렉트하여 GitHub, Slack, Google Workspace 등 연결된 SaaS 플랫폼에 광범위한 액세스를 부여하는 OAuth 토큰을 가로챌 수 있습니다.
공격 경로
공격자는 동적 인증 MCP 서버로 구성된 Claude Code가 있는 개발자 머신에 맞춤형 npm 패키지를 설치하거나 ~/.claude.json을 직접 수정합니다. MCP 트래픽은 클래식 MITM 패턴으로 공격자 인프라를 통해 리다이렉트됩니다. 탈취된 토큰은 초기 침해 이후에도 지속되어 연결된 서비스에 대한 장기적 액세스를 가능하게 합니다.
영향받는 시스템
동적 OAuth 기반 MCP 서버가 있는 Claude Code. 정적 API 키 또는 로컬 범위 MCP 서버를 사용하는 시스템은 영향을 받지 않습니다. 이 문제는 2026년 5월 7일 Mitiga Labs에 의해 공개되었습니다.
완화 방안
Claude Code MCP 서버에서 사용하는 모든 OAuth 토큰을 즉시 로테이션합니다. ~/.claude.json에 대한 파일 무결성 모니터링을 구현합니다. npm 패키지 설치 소스를 제한합니다. 예상치 못한 프록시 또는 엔드포인트 변경에 대해 MCP 서버 구성을 감시합니다. Anthropic은 아직 패치를 발행하지 않았습니다. 공식 채널을 모니터링하여 해결 방법에 대한 지침을 받으십시오.