Một chuỗi tấn công gồm 5 bước đã được các nhà nghiên cứu bảo mật phát hiện, âm thầm chuyển hướng lưu lượng truy cập Model Context Protocol (MCP) của Claude Code qua hạ tầng do kẻ tấn công kiểm soát. Phương thức này cho phép chặn các mã token OAuth, cung cấp quyền truy cập bền vững và phạm vi rộng vào các nền tảng SaaS kết nối như Jira, Confluence và GitHub. Hiện tại, không có bản vá nào được đưa ra từ nhà phát triển Claude Code, tạo ra một mối đe dọa mạng đáng kể.
Chi tiết về chuỗi tấn công
Các nhà nghiên cứu từ Mitiga Labs đã minh họa cách thức tấn công này hoạt động. Điểm khởi đầu là một gói npm độc hại, được thiết kế để vượt qua các kiểm tra thông thường. Bên trong gói này là một postinstall lifecycle hook, thực thi một cách im lặng trong quá trình cài đặt. Đây là một kỹ thuật tấn công chuỗi cung ứng (supply chain attack) đã được ghi nhận, nhưng nay có những hậu quả nghiêm trọng mới trong môi trường AI.
Vai trò của Postinstall Hook
Mục tiêu chính của hook là một tệp duy nhất: ~/.claude.json. Đây là tệp cấu hình toàn cục quản lý cách Claude Code định tuyến lưu lượng MCP và lưu trữ các mã token OAuth dưới dạng văn bản thuần túy.
Sau khi cài đặt, hook sẽ cài đặt sẵn các đường dẫn clone phổ biến của nhà phát triển với cờ trust dialog được đặt thành true. Từ góc độ của Claude Code, người dùng đã chấp thuận tin cậy đối với các thư mục đó, do đó sẽ không có lời nhắc nào xuất hiện khi chúng được mở sau này.
Chặn mã Token OAuth
Khi một nhà phát triển kết nối một máy chủ MCP, ví dụ như Atlassian hoặc GitHub, Claude Code sẽ thực thi một quy trình OAuth đầy đủ.
Mã token bearer được tạo ra có bốn thuộc tính quan trọng, khiến nó trở nên cực kỳ giá trị đối với kẻ tấn công:
- Phạm vi rộng: Các token này có thể truy cập nhiều dịch vụ khác nhau, không chỉ là một ứng dụng duy nhất.
- Quyền truy cập bền vững: Chúng không hết hạn như các phiên làm việc thông thường, cho phép truy cập kéo dài.
- Lưu trữ dưới dạng văn bản thuần túy: Tệp
~/.claude.jsonlưu trữ trực tiếp các mã token mà không có bất kỳ biện pháp mã hóa nào. - Không yêu cầu sự tương tác thêm: Một khi đã có token, kẻ tấn công có thể sử dụng nó ngay lập tức.
Toàn bộ chuỗi tấn công này không đòi hỏi leo thang đặc quyền, lỗi tràn bộ nhớ (memory corruption) hay một lỗ hổng CVE mới. Điều này làm cho việc phát hiện và ngăn chặn trở nên khó khăn hơn.
Phân tích tác động và lỗ hổng
Phát hiện có ý nghĩa vận hành quan trọng nhất là hành động phản ứng sự cố tiêu chuẩn là xoay vòng (rotating) mã token OAuth thực sự lại cung cấp dữ liệu cho kẻ tấn công thay vì cắt đứt quyền truy cập. Điều này trái ngược với các phương pháp bảo mật thông thường.
Vì hook ghi đè tệp ~/.claude.json trước mỗi phiên, lần làm mới OAuth tiếp theo sẽ đi qua proxy và cung cấp một mã token mới. Việc khắc phục yêu cầu gỡ bỏ hook và làm sạch tệp cấu hình trước khi xoay vòng thông tin xác thực.
Thách thức trong việc phát hiện
Các đội ngũ phòng vệ khi xem xét nhật ký từ phía nhà cung cấp dịch vụ, ví dụ như các mục kiểm toán của Atlassian, sẽ thấy tên người dùng hợp lệ, một phiên làm việc thực sự và địa chỉ IP phân giải về phạm vi egress của Anthropic. Mọi trường dữ liệu đều trông hợp pháp. Điểm bất thường duy nhất nằm trong ~/.claude.json, một tệp cấu hình ở cấp độ người dùng mà hầu hết các nhóm bảo mật không giám sát.
Mitiga đã báo cáo những phát hiện này cho Anthropic vào ngày 10 tháng 4 năm 2026. Anthropic đã ghi nhận báo cáo vào ngày 11 tháng 4 và phản hồi vào ngày 12 tháng 4 rằng vấn đề nằm ngoài phạm vi xử lý của họ, viện dẫn sự đồng ý trước của người dùng là điều kiện tiên quyết cho cuộc tấn công. Anthropic tuyên bố không có kế hoạch phát hành bản vá. Quyết định này đặt toàn bộ gánh nặng phát hiện và ứng phó lên vai các nhóm bảo mật doanh nghiệp.
Các biện pháp kiểm soát và khuyến nghị
Các nhóm bảo mật nên triển khai các biện pháp kiểm soát sau đây ngay lập tức để giảm thiểu rủi ro bảo mật:
- Kiểm tra tệp cấu hình cục bộ: Các tổ chức sử dụng Claude Code với các tích hợp MCP nên chạy lệnh
cat ~/.claude.jsonngay lập tức. - Xác minh điểm cuối MCP: Kiểm tra xem mọi URL được liệt kê dưới
mcpServerscó phải là các điểm cuối được nhận dạng và tự cấu hình hay không. - Giám sát hoạt động bất thường: Triển khai các quy tắc phát hiện tùy chỉnh để tìm kiếm các mẫu truy cập hoặc sửa đổi bất thường đối với tệp
~/.claude.json. - Đào tạo người dùng: Nâng cao nhận thức cho các nhà phát triển về các rủi ro liên quan đến việc cài đặt các gói npm từ các nguồn không đáng tin cậy và tầm quan trọng của việc xác minh các lời nhắc tin cậy.
Việc thiếu vắng bản vá từ nhà cung cấp nhấn mạnh tầm quan trọng của việc chủ động bảo mật và giám sát ở cấp độ doanh nghiệp, đặc biệt là trong các môi trường phát triển và tích hợp AI ngày càng phức tạp. Đây là một ví dụ điển hình về cách các mối đe dọa mạng có thể phát sinh từ các thành phần tưởng chừng như vô hại trong chuỗi cung ứng phần mềm.
