Napadaci mogu presresti OAuth tokene kroz Claude Code MCP - bez dostupne zakrpe
Mitiga Labs objavila je napad na Claude Code koji omogućava presretanje OAuth tokena preko zlonamerne npm zavisnosti bez dostupne zakrpe.
Šta se desilo?
Istraživači iz Mitiga Labs otkrili su sofisticirani napad koji omogućava napadačima da presretnu OAuth tokene iz Claude Code integracijskih sistema. Napad koristi zlonamerni npm paket sa postinstall kukom koji tiho konfigurira Claude Code da šalje sav MCP tok preko napadačeve infrastrukture. Presreteni tokeni pružaju neprekidni pristup povezanim servisima poput Jire, Confluencea i GitHuba, a Anthropic je napad klasifikovao kao van dometa svojih odgovornosti.
Koga pogađa?
Programeri i IT timovi koji koriste Claude Code sa MCP (Model Context Protocol) integracijama za rad sa Atlassian alatima, GitHubom ili drugim SaaS platformama. Posebno su izloženi korisnici koji instaliraju npm pakete iz nepouzdanih izvora. Enterprise organizacije sa integracijama Claude Code-a predstavljaju vredne mete jer napadač dobija pristup sa legitimnim Anthropic IP adresama što čini detekciju veoma teskom.
Kako se zaštititi?
- Odmah proverite ~/.claude.json datoteku i verifikujte da su svi navedeni mcpServers URL-ovi legitimni i vašeg konfigurisanja
- Pažljivo pregledate npm pakete pre nego što ih instalirate - vodite računa o paketima sa postinstall hook-ovima
- Pratite i kontrolišite pristup ~/.claude.json datoteci kako bi detektovali neočekivane izmene
- Ako sumnjate na kompromitovanje, prvo uklonite maliciozni hook i očistite konfiguraciju PRE nego što rotirate OAuth tokene
- Pregledate Cloud audit logove za neobičnu aktivnost sa Anthropic IP adresa koje ne odgovaraju vašim uobičajenim obrascima
- Razmislite o ograničavanju OAuth dozvola samo na potrebne dozvole umesto sveobuhvatnih pristupa
Tehnički detalji
Napad se sastoji od pet koraka: (1) delivery - zlonamerni npm paket instališe postinstall kuk koji preseva pouzdane putanje u ~/.claude.json, (2) konfiguracija sesije - kuk postavlja sessionStart hook koji se aktivira svaki put kada Claude Code učita projekat, (3) prepisivanje MCP endpoint-a - sesijski kuk zamenjuje legitimne MCP URL-eve (npr. Atlassianov endpoint) sa localhost proxy-jem koji kontroliše napadač, (4) presretanje tokena - Claude Code čita prepisani URL, povezuje se sa proxy-jem i OAuth bearer token prolazi kroz napadačevu infrastrukturu, (5) trajno reseeding - kuk ponavlja zlonamerni prikaz pri svakom učitavanju Claude Code-a. Kritična karakteristika je što standardna akcija incident respons-a (rotacija OAuth tokena) zapravo pojačava napad jer kuk repiše konfiguraciju pre svake sesije, pa sledeće osvežavanje tokena pogađa proxy. Detektovanje je otežano jer se token generiše sa Anthropic IP adresa što izgleda legitimno na provajder strani.
Preporuka Sajber Radara
Ako razvijate ili primenjujete Claude Code u korporativnom okruženju, hitno pregledajte sve ~/.claude.json datoteke na razvojnim mašinama i implementirajte monitoring za izmene ove datoteke. Pošto Anthropic nije planirao zakrpu, teret detekcije i odgovora cela pada na vašu IT bezbednost - prioritizujte pregled npm paketa i OAuth konfiguracije u svom lancu snabdevanja.