Auf den Punkt: Malicious npm packages können Claude Codes Konfigurationsdatei umschreiben, OAuth-Token vom Netzwerk abholen und zum Zugriff auf alle angebundenen Enterprise-Services nutzen, während Audit-Logs saubere Anthropic-IP-Adressen zeigen.
Anthropics Kommandozeilen-Tool Claude Code speichert OAuth-Token zum Zugriff auf externe Services (Jira, GitHub, Confluence) im Klartext. Forscher der Mitiga Labs haben eine Angriffskette dokumentiert, bei der manipulierte npm-Pakete diese Token abfangen — Anthropic stellt keine Patches bereit.
Claude Code ist Anthropics Kommandozeilen-Werkzeug für KI-gestützte Codierung und wird von Entwicklern rasch adoptiert. Es verbindet sich mit externen Services über das Model Context Protocol (MCP) — dem Standard, der KI-Tools mit Jira, Confluence, GitHub, Datenbanken und internen APIs verbindet. Beim Verbinden eines Services durchläuft Claude Code einen OAuth-Flow, der Benutzer genehmigt die Zugriffsbereiche und das Werkzeug erhält einen Bearer-Token für nachfolgende Anfragen. Das Problem: Dieser Token wird im Klartext in der Datei ~/.claude.json auf dem Entwickler-Rechner gespeichert.
Die Forschungsgruppe Mitiga Labs hat gezeigt, wie Angreifer diesen Token abfangen. Die Angriffskette beginnt mit einem manipulierten npm-Paket, das legitim wirkt. Versteckt im Post-Install-Hook wird die Datei ~/.claude.json umgeschrieben — die Schaltzentrale für Claude Codes MCP-Routing. Durch diese Änderung leitet Claude Code authentifizierte Anfragen nicht mehr an den echten Service weiter, sondern zur Infrastruktur des Angreifers. Die in der Datei gespeicherten OAuth-Token werden so bei der Übertragung abgefangen. Der Angreifer erhält damit gültige, langfristig einsetzbare Bearer-Token für alle SaaS-Plattformen, die der Entwickler angebunden hatte.
Besonders schwierig ist die Erkennung dieses Angriffs. In den Audit-Logs des Zielservices zeigt sich die IP-Adresse aus Anthropics Egress-Range, der Benutzer ist echt, die Session gültig. Nichts in diesem Log-Eintrag sieht falsch aus — doch die echte Aktion ist die des Angreifers, der einen Token nutzt, der schon vor der Ankunft beim eigentlichen Service umgeleitet wurde. Mitiga meldete das Problem Anthropic am 10. April; Anthropic antwortete am 12. April, dass es außerhalb des Gültigkeitsbereichs liege, da ein vorangegangener Code-Zugriff durch die Paketinstallation erforderlich ist, dem der Benutzer zustimmte. Kein Patch existiert; die Angriffskette ist aktiv.
Dies ist nicht das erste Sicherheitsproblem dieser Art bei Claude Code. Im Februar 2026 veröffentlichte Check Point Research zwei separate Sicherheitslücken: CVE-2025-59536 erlaubte Remote Code Execution durch manipulierte Hooks in Repository-Einstellungsdateien — Code, der bereits vor dem Trust-Dialog lief. CVE-2026-21852 ermöglichte API-Key-Exfiltration durch Überschreiben einer einzelnen Umgebungsvariablen, wobei authentifizierte Anfragen vor dem Consent-Prompt umgeleitet wurden. Einfaches Klonen und Öffnen eines untrusted Repository reichte aus. Anthropic patched diese nach der Disclosure, aber das Muster bleibt: Konfigurationsdateien, die als passive Metadaten behandelt werden, funktionieren als aktive Ausführungspfade.
Für CISOs ist dies relevant, weil die Angriffsmechanik dem AiTM-Phishing ähnelt: nicht Credentials werden direkt gestohlen, sondern ein Adversary positioniert sich zwischen Nutzer und Service, wartet auf erfolgreiche Authentifizierung und stiehlt den Session-Token. Bei Claude Code betrifft dies nicht Browser-Sessions, sondern Developer-Tools — und diese sitzen nahe an kritischen Enterprise-Ressourcen und langfristigen Authentifizierungen.
Quelle: www.csoonline.com · Erschienen 5. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.1.