Peretasan Konfigurasi Claude Code MCP ~/.claude.json — Hook Post-Install npm yang Tidak Diperbaiki Menangkap Token OAuth SaaS di Lingkungan Pengembang

Peneliti di Mitiga Labs (diungkapkan 12 Mei, kini tersebar luas oleh CSO Online 5 Juni) mendemonstrasikan bahwa paket npm berbahaya yang berisi hook post-install dapat secara diam-diam menulis ulang ~/.claude.json — file konfigurasi yang mengontrol bagaimana Claude Code merutekan semua lalu lintas MCP (Model Context Protocol). File yang ditulis ulang mengarahkan ulang permintaan terautentikasi Claude Code ke infrastruktur yang dikontrol penyerang alih-alih ke endpoint SaaS yang sah. Token pembawa OAuth untuk semua layanan terhubung (Jira, Confluence, GitHub, basis data, API internal) disadap dalam transit. Secara kritis, log audit sisi penyedia menunjukkan permintaan penyerang berasal dari rentang IP egres sah Anthropic dengan sesi pengguna yang valid — penyerang tidak terlihat dalam log. Anthropic menolak untuk menambal, mengutip serangan yang memerlukan eksekusi kode sebelumnya melalui pemasangan paket yang disetujui.

Paket npm berbahaya dengan hook post-install tersembunyi menulis ulang ~/.claude.json untuk mengarahkan lalu lintas MCP ke infrastruktur penyerang; dipicu selama alur npm install apa pun. Tidak ada hak istimewa yang ditinggikan — file konfigurasi dapat ditulis pengguna secara desain. Token OAuth dalam file yang sama disadap dan dapat digunakan untuk akses SaaS yang tahan lama bahkan setelah upaya rotasi token, karena hook dapat menyadap kembali alur OAuth berikutnya.

Anthropic Claude Code CLI (semua versi per 6 Juni 2026); lingkungan pengembang apa pun yang telah menjalankan npm install dari paket yang tidak terpercaya sementara integrasi Claude Code MCP dikonfigurasi; platform SaaS terhubung (Jira, Confluence, GitHub, basis data) yang menggunakan token OAuth yang disimpan di ~/.claude.json.

Tidak ada patch dari Anthropic per 6 Juni. Mitigasi yang direkomendasikan: (1) pantau ~/.claude.json untuk modifikasi yang tidak diharapkan menggunakan pemantauan integritas file atau auditd; (2) baseline endpoint server MCP yang sah dan beri peringatan pada perubahan; (3) nonaktifkan atau audit skrip post-install npm menggunakan flag --ignore-scripts; (4) rotasi token OAuth setelah pemasangan paket yang tidak terpercaya dan verifikasi integritas ~/.claude.json sebelum rotasi; (5) pertimbangkan untuk membatasi Claude Code ke lingkungan pengembang terisolasi atau kontainer.