技術的な説明
Mitiga Labs の研究者(5月12日に開示、6月5日に CSO Online で広く流布)は、post-install hook を含む悪意のある npm パッケージが ~/.claude.json をサイレントに改ざんでき、Claude Code がすべての MCP(Model Context Protocol)トラフィックをルーティングする方法を制御する設定ファイルであることを実証しました。改ざんされたファイルは、Claude Code の認証済みリクエストを正当な SaaS エンドポイントの代わりに攻撃者が管理するインフラストラクチャにリダイレクトします。接続されているすべてのサービス(Jira、Confluence、GitHub、データベース、内部 API)の OAuth ベアラートークンは転送中にインターセプトされます。重要なことに、プロバイダー側の監査ログは、攻撃者のリクエストが Anthropic の正当なエグレス IP 範囲から発信され、有効なユーザーセッションで実行されているものとして表示されます。攻撃者はログから見えなくなります。Anthropic は、攻撃が同意されたパッケージのインストール経由の事前コード実行を必要としていることを理由に、パッチの適用を拒否しました。
攻撃経路
隠された post-install hook を含む悪意のある npm パッケージが ~/.claude.json を改ざんして MCP トラフィックを攻撃者インフラストラクチャにポイントします。任意の npm install ワークフロー中にトリガーされます。昇格された特権は不要です。設定ファイルは設計上ユーザー書き込み可能です。同じファイル内の OAuth トークンはインターセプトされ、トークン回転の試行後でも長期間の SaaS アクセスに使用可能です。hook が後続の OAuth フローを再度インターセプトする可能性があるためです。
影響を受けるシステム
2026年6月6日現在、Anthropic Claude Code CLI(すべてのバージョン);Claude Code MCP インテグレーションが構成されている状態で信頼できないパッケージの npm install を実行した任意の開発者環境;~/. claude.json に保存されている OAuth トークンを使用する接続された SaaS プラットフォーム(Jira、Confluence、GitHub、データベース)。
緩和策
2026年6月6日現在、Anthropic からのパッチなし。推奨される軽減策:(1)ファイル整合性監視または auditd を使用して ~/.claude.json を監視し、予期しない変更を検出;(2)正当な MCP サーバーエンドポイントをベースライン化し、変更時にアラート;(3)--ignore-scripts フラグを使用して npm post-install スクリプトを無効化または監査;(4)信頼できないパッケージのインストール後に OAuth トークンをローテーションし、ローテーション前に ~/.claude.json の整合性を確認;(5)Claude Code を隔離された開発者環境またはコンテナに制限することを検討。