Claude Code от Anthropic — ИИ-помощник для разработчиков, использующий MCP для подключения к Jira, GitHub и API. Исследователи Mitiga Labs обнаружили, что вредоносный пакет npm может перехватывать токены OAuth, перенаправляя трафик через незаметное изменение файла ~/.claude.json. — csoonline.com
Claude Code — это ИИ-помощник для написания кода от Anthropic, быстро набирающий популярность среди разработчиков в виде инструмента командной строки. Он подключается к внешним сервисам через Model Context Protocol (MCP) — стандарт, позволяющий инструментам ИИ взаимодействовать с Jira, Confluence, GitHub, базами данных и внутренними API. Когда разработчик подключает один из этих сервисов, Claude Code запускает процесс OAuth, пользователь одобряет области действия (scopes), и инструмент получает токен-носитель (bearer token), который он использует для каждого последующего запроса.
Этот токен хранится в виде простого текста в конфигурационном файле на машине разработчика. И теперь исследователи точно показали, как злоумышленники получают к нему доступ.
Что обнаружили исследователи
На прошлой неделе исследователи из Mitiga Labs опубликовали цепочку атак, которая должна обеспокоить каждую команду безопасности, чьи разработчики используют Claude Code. Атака начинается с вредоносного пакета npm — чего-то, что выглядит как легитимная утилита или обертка. Скрытый внутри хук после установки (post-install hook) бесшумно выполняется во время инсталляции. Этот хук перезаписывает один файл: ~/.claude.json.
Этот файл является точкой управления маршрутизацией трафика MCP для Claude Code. Изменив его, можно направить аутентифицированные запросы Claude Code на инфраструктуру, контролируемую злоумышленником, вместо легитимного сервиса. Токены OAuth, хранящиеся в том же файле, перехватываются при передаче. Теперь у злоумышленника есть действительные, долгоживущие токены-носители для каждой подключенной SaaS-платформы — Jira, Confluence, GitHub, всего, что было интегрировано.
Что делает это особенно трудным для обнаружения, так это то, как выглядят журналы аудита на принимающей стороне. IP-адрес в логах провайдера разрешается в диапазон исходящих соединений Anthropic. Пользователь настоящий. Сессия действительна. Как выразились в Mitiga, в этой строке журнала нет ничего неправильного — но и ничего правильного тоже нет. Запрос выполнил не пользователь. Его выполнил злоумышленник, используя токен, который был незаметно перенаправлен до того, как достиг своего предполагаемого назначения.
Mitiga сообщила об этом Anthropic 10 апреля. Anthropic ответила 12 апреля, что проблема выходит за рамки их ответственности, аргументируя это тем, что атака требует предварительного выполнения кода через установку пакета, на которую пользователь дал согласие. На момент написания этой статьи патча не существует. Цепочка атак активна.
Это не первый случай
Раскрытие информации Mitiga является самым последним, но не первым случаем, когда модель конфигурации Claude Code порождает проблему безопасности.
В феврале 2026 года Check Point Research опубликовала результаты исследования двух отдельных уязвимостей. Первая, CVE-2025-59536, позволяла удаленное выполнение кода (RCE) через вредоносные хуки, внедренные в файл настроек репозитория — код, который выполнялся до того, как пользователь успевал прочитать диалоговое окно доверия. Вторая, CVE-2026-21852, позволяла эксфильтрацию ключей API путем переопределения одной переменной окружения, перенаправляя аутентифицированный трафик на инфраструктуру, контролируемую злоумышленником, до появления какого-либо запроса на согласие. Простого клонирования и открытия недоверенного репозитория было достаточно для срабатывания обеих уязвимостей.
Anthropic исправила эти уязвимости после раскрытия информации Check Point. Но выявленная ими закономерность — конфигурационные файлы, которые команды безопасности рассматривают как пассивные метаданные, фактически функционируют как активные пути выполнения — та же самая закономерность, которую эксплуатирует атака Mitiga. Механизм продолжает работать, потому что его создает базовая архитектура.
Почему командам безопасности нужно обратить внимание
Если вы слышали об атаках типа «человек посередине» (adversary-in-the-middle, AiTM) с фишингом, это должно показаться знакомым. Атаки AiTM не крадут учетные данные напрямую — они располагаются между пользователем и легитимным сервисом, ждут успешной аутентификации и забирают токен сессии, который это подтверждает. Атака Mitiga на Claude Code работает так же. Поток OAuth завершается легитимно. Пользователь одобрил области действия. Токен действителен. Злоумышленник просто вклинился в уровень маршрутизации до того, как токен достиг своего предполагаемого места назначения.
Разница в том, что атаки AiTM нацелены на браузерные сессии. Эта же атака нацелена на инструменты разработчика — а инструменты разработчика находятся ближе к вашему исходному коду, внутренним API, облачной инфраструктуре и производственным системам, чем большинство браузерных сессий.
Принятие Claude Code ускоряется. Разработчики устанавливают его, потому что он действительно улучшает их рабочий процесс. Они подключают его к инструментам, которыми пользуются каждый день. Большинство из них не задумываются о том, что скрипты после установки в их зависимостях npm делают с их локальными конфигурационными файлами. Это не провал осведомленности — это неразумное ожидание. Вместо этого об этом должна думать команда безопасности.
Три средства контроля, которые помогут прямо сейчас
- Отслеживайте изменения в ~ / .claude.json. Этот файл является точкой опоры в атаке Mitiga. Изменения конечных точек сервера MCP в этом файле — особенно добавление новых адресов локальных прокси или незнакомых внешних конечных точек — должны вызывать оповещение. У большинства организаций отсутствует мониторинг конфигурационных файлов на уровне пользователя в средах разработки. Это должно измениться. Mitiga конкретно рекомендует отслеживать изменения в конфигурации Claude Code, URL-адресах серверов MCP и поведении обновления OAuth в качестве основного уровня обнаружения.
- Относитесь к хукам post-install npm как к первоочередной проблеме безопасности. Атака Mitiga начинается с вредоносного пакета npm. Хуки post-install, выполняющие произвольный код во время установки, являются известным классом рисков цепочки поставок — но их применение в средах разработки непоследовательно. Проводите аудит того, что выполняется во время установки пакетов в ваших конвейерах разработки. Рассмотрите возможность требования проверки пакетов, включающих скрипты post-install, прежде чем они попадут на машины разработчиков. Это не рекомендация, специфичная для Claude Code; она применима ко всем инструментам в вашем стеке разработки. Claude Code просто сделал последствия ошибки в этом вопросе гораздо более ощутимыми.
- Проводите аудит токенов OAuth, подключенных к интеграциям Claude Code, и отзывайте их. Разработчики, которые подключают Claude Code к Jira, Confluence, GitHub или любой другой SaaS-платформе, создают токены OAuth, которые сохраняются между сессиями. Если эти токены были активны в период, когда был установлен вредоносный пакет, их следует считать потенциально скомпрометированными. Отозовите их. Проверьте журналы аудита на стороне провайдера на предмет шаблонов активности, описанных Mitiga — выглядящих как действительные запросы из исходящих IP-адресов Anthropic, которые разработчик не инициировал. Обратите внимание, что одно только ротирование токенов не прерывает цепочку, если вредоносный хук все еще присутствует — хук переустановит конфигурацию и захватит новые токены при следующем обновлении. Устранение последствий требует сначала удаления хука и очистки конфигурации.
Честная оценка
Ответ Anthropic на раскрытие информации Mitiga — что атака выходит за рамки их ответственности, поскольку пользователь согласился на установку пакета — следует логике, которую практики безопасности узнают и большинство из которых отвергнут. Согласие на установку пакета не является согласием на то, чтобы этот пакет переписывал конфигурацию маршрутизации вашего ИИ-инструмента и перехватывал ваши учетные данные SaaS. Эти две вещи не эквивалентны, и приравнивание их перекладывает всю тяжесть безопасности цепочки поставок на разработчика, заставляя его принимать решение за доли секунды относительно названия зависимости.
Это неразумная модель безопасности.
Исправленные уязвимости Check Point показывают, что Anthropic реагирует, когда проблема сформулирована правильно. Исследование Mitiga недельной давности. Будет ли выпущено исправление — открытый вопрос, но цепочка атак работает сегодня независимо от того, как решится этот вопрос.
Ваши разработчики используют Claude Code. Вопрос для команд безопасности не в том, стоит ли заниматься этим риском, а в том, как быстро вы сможете внедрить обнаружение и реагирование, учитывающее его. Конфигурационный файл невелик, требование к мониторингу специфично, а цепочка атак задокументирована. Начать с этого лучше, чем ждать патча от вендора, который может и не появиться.
Эта статья опубликована в рамках сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Anjali Gopinadhan Nair