기술 설명
Claude Code는 MCP 구성과 OAuth 토큰을 ~/.claude.json에 저장하지만 적절한 무결성 보호가 없습니다. 악성 npm 패키지를 설치하거나 구성 파일을 수정할 수 있는 공격자는 MCP 트래픽을 공격자 제어 인프라를 통해 리디렉션하여 연결된 SaaS 플랫폼(GitHub, Slack, Google Workspace 등)에 광범위한 액세스 권한을 부여하는 OAuth 토큰을 가로챌 수 있습니다.
공격 경로
공격자는 동적 인증 MCP 서버로 구성된 Claude Code가 있는 개발자 머신에 맞춤형 npm 패키지를 설치하거나 ~/.claude.json을 직접 수정합니다. MCP 트래픽은 고전적인 MITM 패턴으로 공격자 인프라를 통해 리디렉션됩니다. 탈취된 토큰은 초기 침해 이후에도 지속되어 연결된 서비스에 대한 장기적 액세스를 가능하게 합니다.
영향받는 시스템
동적 OAuth 기반 MCP 서버가 있는 Claude Code. 정적 API 키 또는 로컬 범위 MCP 서버를 사용하는 시스템은 영향을 받지 않습니다. 이 문제는 2026년 5월 7일 Mitiga Labs에 의해 공개되었습니다.
완화 방안
Claude Code MCP 서버가 사용하는 모든 OAuth 토큰을 즉시 로테이션합니다. ~/.claude.json에 대한 파일 무결성 모니터링을 구현합니다. npm 패키지 설치 소스를 제한합니다. 예상치 못한 프록시 또는 엔드포인트 변경에 대해 MCP 서버 구성을 감사합니다. Anthropic은 아직 패치를 발급하지 않았습니다. 공식 채널에서 완화 지침을 모니터링하십시오.