기술 설명
Mitiga Labs의 연구원들이(5월 12일 공개, 현재 CSO Online에서 6월 5일 광범위하게 유포됨) post-install hook을 포함한 악성 npm 패키지가 ~/.claude.json을 자동으로 재작성할 수 있음을 입증했습니다. 이 파일은 Claude Code가 모든 MCP(Model Context Protocol) 트래픽을 라우팅하는 방식을 제어합니다. 재작성된 파일은 Claude Code의 인증된 요청을 정상적인 SaaS 엔드포인트 대신 공격자 제어 인프라로 리디렉션합니다. 모든 연결된 서비스(Jira, Confluence, GitHub, 데이터베이스, 내부 API)의 OAuth 베어러 토큰이 전송 중에 탈취됩니다. 심각하게도, 공급자 측 감사 로그는 공격자의 요청이 Anthropic의 정상적인 이그레스 IP 범위에서 유효한 사용자 세션으로 출발한 것으로 표시되므로 공격자는 로그에서 보이지 않습니다. Anthropic은 이 공격이 동의한 패키지 설치를 통한 사전 코드 실행을 요구한다고 인용하여 패치를 거부했습니다.
공격 경로
숨겨진 post-install hook이 있는 악성 npm 패키지가 ~/.claude.json을 재작성하여 MCP 트래픽을 공격자 인프라로 지정합니다. npm install 워크플로우 중 언제든지 트리거됩니다. 상승된 권한이 필요하지 않습니다. 설정 파일은 설계상 사용자 쓰기 가능합니다. 같은 파일의 OAuth 토큰은 탈취되며 토큰 로테이션 시도 후에도 장기간 SaaS 액세스에 사용 가능합니다. hook이 후속 OAuth 흐름을 다시 탈취할 수 있기 때문입니다.
영향받는 시스템
Anthropic Claude Code CLI(2026년 6월 6일 기준 모든 버전); 신뢰할 수 없는 패키지의 npm install을 실행했고 Claude Code MCP 통합이 구성된 모든 개발자 환경; OAuth 토큰이 ~/.claude.json에 저장된 연결된 SaaS 플랫폼(Jira, Confluence, GitHub, 데이터베이스)
완화 방안
2026년 6월 6일 기준 Anthropic의 패치 없음. 권장 완화 조치: (1) 파일 무결성 모니터링 또는 auditd를 사용하여 ~/.claude.json의 예상치 못한 수정 모니터링; (2) 정상적인 MCP 서버 엔드포인트를 기준선 설정하고 변경 시 경고; (3) --ignore-scripts 플래그를 사용하여 npm post-install 스크립트 비활성화 또는 감사; (4) 신뢰할 수 없는 패키지 설치 후 OAuth 토큰 로테이션 및 로테이션 전 ~/.claude.json 무결성 확인; (5) Claude Code를 격리된 개발자 환경 또는 컨테이너로 제한 검토.