安全公司Mitiga Labs披露了一种针对Claude Code的隐蔽攻击链。攻击者只需诱导用户安装一个恶意npm包,即可在后台拦截OAuth令牌,全程无需用户察觉。

攻击的核心在于MCP(模型上下文协议)基础设施的劫持。恶意包会修改用户本地的~/.claude.json配置文件,插入攻击者控制的代理服务器,并预设信任标志以跳过安全提示。由于OAuth令牌授予对所有已连接SaaS工具的广泛访问权限,一旦得手,攻击者便相当于拿到了受害者开发环境的"万能钥匙"。

打开网易新闻 查看精彩图片

这种攻击的隐蔽性令人警惕。它不需要钓鱼链接或社会工程话术,而是利用开发者日常依赖的包管理工具。npm生态的开放性在此成为双刃剑——安装一个看似无害的依赖,可能在后台重写关键配置。

打开网易新闻 查看精彩图片

Mitiga Labs指出,该攻击链的关键在于"静默"二字。传统中间人攻击往往需要网络层面的介入,而这种方式完全发生在本地,绕过了多数网络监控机制。OAuth令牌一旦泄露,攻击者可长期维持访问,直至用户手动撤销授权。

Claude Code作为Anthropic推出的AI编程工具,允许AI直接操作代码库、调用外部API。这种深度集成提升了效率,也放大了单点失效的风险。一个令牌串联起GitHub、Slack、数据库等关键服务,这正是攻击者眼中的高价值目标。

打开网易新闻 查看精彩图片

目前Mitiga Labs已在Grid the Grey发布完整技术细节。对于开发者而言,审查npm包的来源、定期检查本地配置文件变更,或许是当下最实际的防御手段。