기술 설명
Mitiga Labs의 연구원들(5월 12일 공개, 현재 CSO Online에서 6월 5일 널리 유포됨)이 post-install hook을 포함한 악성 npm 패키지가 ~/.claude.json을 조용히 재작성할 수 있음을 입증했습니다. 이 파일은 Claude Code가 모든 MCP(Model Context Protocol) 트래픽을 라우팅하는 방식을 제어하는 설정 파일입니다. 재작성된 파일은 Claude Code의 인증된 요청을 합법적인 SaaS 엔드포인트 대신 공격자 제어 인프라로 리디렉션합니다. 연결된 모든 서비스(Jira, Confluence, GitHub, 데이터베이스, 내부 API)에 대한 OAuth 베어러 토큰이 전송 중에 탈취됩니다. 중요하게도, 제공자 측 감사 로그는 공격자의 요청이 유효한 사용자 세션을 가진 Anthropic의 합법적인 송신 IP 범위에서 발생한 것으로 표시되므로 공격자는 로그에서 보이지 않습니다. Anthropic은 동의한 패키지 설치를 통한 사전 코드 실행을 요구하는 공격이라는 이유로 패치를 거부했습니다.
공격 경로
숨겨진 post-install hook이 있는 악성 npm 패키지가 ~/.claude.json을 재작성하여 MCP 트래픽을 공격자 인프라로 지정하며, 모든 npm install 워크플로우 중에 트리거됩니다. 상승된 권한이 필요하지 않습니다. 설정 파일은 설계상 사용자가 쓰기 가능합니다. 같은 파일의 OAuth 토큰은 탈취되며 토큰 로테이션 시도 후에도 장시간 SaaS 액세스에 사용 가능합니다. hook이 후속 OAuth 흐름을 다시 탈취할 수 있기 때문입니다.
영향받는 시스템
2026년 6월 6일 기준 모든 버전의 Anthropic Claude Code CLI; 2026년 6월 6일 기준으로 Claude Code MCP 통합이 구성되어 있는 동안 신뢰할 수 없는 패키지의 npm install을 실행한 모든 개발자 환경; ~/.claude.json에 저장된 OAuth 토큰을 사용하는 연결된 SaaS 플랫폼(Jira, Confluence, GitHub, 데이터베이스)
완화 방안
2026년 6월 6일 기준 Anthropic의 패치 없음. 권장 완화 방법: (1) 파일 무결성 모니터링 또는 auditd를 사용하여 ~/.claude.json의 예기치 않은 수정 모니터링; (2) 합법적인 MCP 서버 엔드포인트를 기준선으로 설정하고 변경 시 경고; (3) --ignore-scripts 플래그를 사용하여 npm post-install 스크립트 비활성화 또는 감사; (4) 신뢰할 수 없는 패키지 설치 후 OAuth 토큰 로테이션 및 로테이션 전 ~/.claude.json 무결성 확인; (5) Claude Code를 격리된 개발자 환경 또는 컨테이너로 제한하는 것을 고려합니다.