ST

Live Redaktion

SvyTech

Suche
Startseite/Technologie
Cyber Security NewsTechnologie

Hacker können Claude Code MCP-Verkehr kapern, um OAuth-Token zu stehlen

Eine fünfstufige Angriffsreihe, die Claude Code's Model Context Protocol (MCP)-Verkehr stumm über , OAuth-Bearer-Token abfängt, die einen dauerhaften, weitreichenden Zug

8. Juni 2026Guru BaranLive Redaktion
Hackers Can Hijack Claude Code MCP Traffic to Steal OAuth Tokens

Video

Im Original eingebettet

YouTube
Video aus dem Originalartikel. Wenn der Player nicht lädt, kann es an YouTube-Datenschutz- oder Browser-Einstellungen liegen.

Kurzfassung

Warum das wichtig ist

Cyber Security NewsTechnologie
  • Eine fünfstufige Angriffsreihe, die Claude Code's Model Context Protocol (MCP)-Verkehr stumm über , OAuth-Bearer-Token abfängt, die einen dauerhaften, weitreichenden Zug
  • Forscher Angriff demonstriert; der Einstiegspunkt ist ein bösartiges npm-Paket, das einer oberflächlichen Inspektion standhält.
  • Darin verborgen ist ein postinstall-Lebenszyklus-Hook, der sich stumm während der Installation ausführt – eine gut dokumentierte Angriffsklasse in der Lieferkette, die in Umgebungen mit KI-Agenten kritisch neue Konsequenzen entfaltet.

SvyTech-Check

Redaktionelle Einordnung

Eigene Kontextschicht

Kernpunkt

Eine fünfstufige Angriffsreihe, die Claude Code's Model Context Protocol (MCP)-Verkehr stumm über , OAuth-Bearer-Token abfängt, die einen dauerhaften, weitreichenden Zug

Warum relevant

Das primäre Ziel des Hooks ist eine einzige Datei: ~/.claude.json, die globale Konfigurationsdatei, die steuert, wie Claude Code alle MCP-Verkehrsrouten steuert und OAuth-Token im Klartext speichert.

Einordnung

SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.

Das primäre Ziel des Hooks ist eine einzige Datei: ~/.claude.json, die globale Konfigurationsdatei, die steuert, wie Claude Code alle MCP-Verkehrsrouten steuert und OAuth-Token im Klartext speichert. Nach der Installation füllt der Hook gängige Entwickler-Clone-Pfade vorab mit Vertrauensdialog-Flags, die auf true gesetzt sind.

Aus der Perspektive Benutzer bereits Vertrauen in diese Verzeichnisse erteilt, sodass beim späteren Öffnen keine Prompts ausgelöst werden. Wenn ein Entwickler einen MCP-Server wie Atlassian oder GitHub anschließt, führt Claude Code einen vollständigen OAuth-Ablauf durch.

Das resultierende Bearer-Token besitzt vier Eigenschaften, die es für Angreifer besonders wertvoll machen: Dauerhaft – es wird für die Wiederverwendung in Sitzungen gespeichert, zusammen mit einem zugehörigen Refresh-Token; eine einzige Abfangaktion schafft einen dauerhaften Zugangspunkt.

Technischer Hintergrund

Weitreichend – es erbt alle Berechtigungen, die zum Zeitpunkt der Autorisierung erteilt wurden, ohne pro Aufruf Einschränkung oder erneute Zustimmung. Schwach gespeichert – es liegt im Klartext in ~/.claude.json neben Vertrauensflaggen vor, alles mit identischen Dateiberechtigungen.

Nicht zuordenbar auf Serverseite – das Token wird aus dem Egress-IP-Bereich äsentiert und ist für den Anbieter nicht.

Fünfstufige Angriffs-Kette für Claude Code über MCP Die vollständige Kette erfordert keine Privilegien-Eskalation, keine Speicher-Korruption und keine neuen CVEs: Lieferung – Ein bösartiges npm-Paket installiert einen postinstall-Haken, der Vertrauens-Flags über Entwickler-Klon-Pfade verteilt.

Technischer Hintergrund

Pfad-Saatung – Der Haken bearbeitet ~/.claude.json, um einen sessionStart-Haken einzufügen, der jedes Mal ausgeführt wird, wenn Claude Code ein vertrauenswürdiges Projekt lädt. MCP-Endpunkt-Umleitung – Der Session-Haken ersetzt legitime MCP-Server-URLs (z. B. den Endpunkt ) durch einen localhost-Proxy, der vom Angreifer kontrolliert wird.

Token-Interzeption – Claude Code liest die umgeleitete URL, verbindet sich mit dem Proxy, und das OAuth-Bearer-Token verlässt die Infrastruktur des Angreifers; der Anbieter erkennt einen gültigen Ablauf ürdigen Quelle aus.

Hacker können Claude Code MCP-Verkehr kapern, um OAuth-Token zu stehlen
Hacker können Claude Code MCP-Verkehr kapern, um OAuth-Token zu stehlen

Persistente Neusaatung – Der Haken stellt die bösartige Konfiguration bei jedem Laden und fängt Tokens automatisch wieder ab, auch nach Rotation oder manueller URL-Korrektur.

Technischer Hintergrund

Das operationell bedeutsamste Ergebnis ist, dass die Standardmaßnahme zur Reaktion auf Sicherheitsvorfälle, das Rotieren des OAuth-Tokens, den Angreifer aktiv unterstützt, anstatt den Zugriff zu unterbrechen. Da der Hook vor jeder Sitzung die Datei ~/.claude.json überschreibt, trifft der nächste OAuth-Refresh auf den Proxy und liefert ein neues Token.

Zur Behebung muss der Hook entfernt und die Konfigurationsdatei bereinigt werden, bevor die Zugangsdaten rotiert werden. Verteidiger, die Provider-seitige Logs überprüfen – wie z. B. Atlassian-Audit-Einträge – sehen einen gültigen Benutzernamen, eine echte Sitzung und eine IP-Adresse, die auf den Anthropic-Ausgangs-Bereich auflöst. Jedes Feld wirkt legitim.

Die einzige Anomalie liegt in ~/.claude.json, einer benutzerspezifischen Konfigurationsdatei, die die meisten Sicherheitsteams nicht überwachen. Mitiga meldete die Erkenntnisse am 10. April 2026 an Anthropic. Anthropic erkannte den Bericht am 11. April an und antwortete am 12.

Sicherheitslage und Risiko

April, dass das Problem außerhalb des Geltungsbereichs liege, wobei die vorherige Zustimmung des Nutzers als Voraussetzung für den Angriff zitiert wurde. Es ist kein Patch geplant. Die Entscheidung verlagert die gesamte Last der Erkennung und Reaktion auf die Sicherheitsteams des Unternehmens.

Erkennung fr Verteidiger Sicherheitsteams sollten die folgenden Manahmen unverzglich umsetzen: berwachen Sie die Datei ~/.claude.json auf unerwartete nderungen, insbesondere Modifikationen der URLs fr mcpServers oder das Hinzufgen post-install Hooks als Erstklassiges Risiko in der Lieferkette  prfen Sie Pakete, die Lebenszyklus-Skripte registrieren, bevor diese auf Entwickler-Maschinen gelangen.

Prfen und drehen Sie OAuth-Token fr Claude Code-Integrationen ab, jedoch erst nach Besttigung, dass der Hook entfernt wurde. berprfen Sie SaaS-Audit-Logs auf Anfragen, die nicht mit den bekannten Aktivittsmustern des Benutzers bereinstimmen. Alarmieren Sie bei neuen lokalen Proxys oder unerwartetem OAuth-Refresh-Verhalten in Entwicklerumgebungen.

Organisationen, die Claude Code mit MCP-Integrationen betreiben, sollten sofort den Befehl cat ~/.claude.json ausfhren und sicherstellen, dass jede unter mcpServers aufgefhrte URL eine bekannte, selbst konfigurierte Endstelle ist.

Quelllink

Originalquelle: Cyber Security News

Originalartikel oeffnen

Thema weiterverfolgen

Technologie ArchivMehr von Cyber Security News

Interne Verlinkung

Im Kontext weiterlesen

Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.

Technologie Archiv

Weitere Meldungen aus derselben Hauptkategorie.

Mehr von Cyber Security News

Alle veroeffentlichten Inhalte derselben Quelle im Archiv.

MSI und Gigabyte stellen 5K Mini-LED-Monitore mit 2.304 Dimming-Zonen vor: Beide Modelle verdoppeln die Bildwiederholrate auf 330 Hz bei 1440p

Redaktionell verwandter Beitrag aus dem selben Themenumfeld.

Anycubic Photon Mono 4: Amazon-Angebot senkt Preis unter 190 Dollar und spart 21 Prozent

Redaktionell verwandter Beitrag aus dem selben Themenumfeld.

Quellenprofil

Quelle und redaktionelle Angaben

Quelle
Cyber Security News
Originaltitel
Hackers Can Hijack Claude Code MCP Traffic to Steal OAuth Tokens
Canonical
https://cybersecuritynews.com/claude-code-mcp-traffic-hijack/
Quell-URL
https://cybersecuritynews.com/claude-code-mcp-traffic-hijack/

Aehnliche Inhalte

Verwandte Themen und interne Verlinkung

Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.