티스토리 뷰
* 아래의 글은 보안컨설턴트를 준비하는 대학생이 작성한 글로 주관적인 해석 및 부정확한 정보를 포함할 수 있습니다.
1. 요약
앤스로픽의 AI 기반 CLI 개발 도구인 Claude Code에서 프로젝트 설정 파일(.claude/settings.json)을 악용해 사용자의 컴퓨터에서 원격 코드 실행(RCE)을 하거나, API 키를 탈취할 수 있는 치명적인 보안 허점이 발견됨. 악의적으로 구성된 저장소(Repo)를 클론하고 Claude Code를 실행하기만 해도 공격이 시작될 수 있음. 체크포인트 리서치(Check Point Research)가 발견했다.
2. 구체적인 3가지 취약점
1) 'Hooks'를 이용한 원격 코드 실행 (RCE)
Claude Code에는 특정 시점에 명령어를 자동 실행하는 'Hooks' 기능이 있다.
공격자가 설정 파일에 악성 명령어를 넣어두면, 사용자가 '저장소를 신뢰하느냐'는 팝업에 '예'를 누르는 순간 추가 확인 없이 바로 악성 코드가 실행될 수 있다. (계산기가 뜨거나 리버스 셸이 연결됨)
2) MCP 설정을 통한 사용자 승인 우회
MCP(Model Context Protocol) 서버 설정 역시 파일로 제어 가능하다.
원래는 경고창이 떠야 하지만, 설정 파일에서 enableAllProjectMcpServers 같은 옵션을 켜두면 사용자가 경고창을 읽기도 전에 배경에서 악성 명령어가 먼저 실행
3) API 키 탈취 (Exfiltration)
설정 파일에서 ANTHROPIC_BASE_URL(API 요청을 보내는 주소)을 변경하는 것도 가능하다.
공격자가 이 주소를 본인 서버로 바꿔놓으면, Claude Code가 실행되자마자 사용자의 Anthropic API 키를 평문으로 공격자 서버에 전송할 수도 있다. 사용자가 '신뢰' 버튼을 누르기도 전에 키가 유출된다.
3. 공격 시나리오
1) 정상적인 오픈소스 프로젝트에 교묘하게 설정 파일을 숨긴 풀 리퀘스트(악성 PR)를 보냄
2) 유용한 도구인 것처럼 속여서 개발자들이 클론하도록 유도
4. 현재 상태 및 대응
- 앤스로픽은 체크포인트의 제보를 받고 보안 패치 완료, 사용자 승인 없이는 명령어, API 요청 먼저 실행 불가해짐
- 최신 버전으로 업데이트
- 잘 알지 못하는 저장소는 사용하지 말자!
Caught in the Hook: RCE and API Token Exfiltration Through Claude Code Project Files | CVE-2025-59536 | CVE-2026-21852 - Check P
By Aviv Donenfeld and Oded Vanunu Executive Summary Check Point Research has discovered critical vulnerabilities in Anthropic’s Claude Code that allow attackers to achieve remote code execution and steal API credentials through malicious project configur
research.checkpoint.com
'보안전문가로 취업할래요 > 취약점과 보안뉴스' 카테고리의 다른 글
| 가짜 GitHub 저장소를 통해 윈도우 사용자 공격하는 보립트그랩(BoryptGrab) (0) | 2026.03.15 |
|---|---|
| CVE-2026-3304 ExpressJS의 multer 취약점 (0) | 2026.03.08 |
| Shannon(섀넌), 직접 공격해서 증거를 챙겨오는 자율형 AI 침투 테스터 (0) | 2026.02.18 |
| CVE-2026-25881 샌드박스JS 보호막 탈옥 취약점 (0) | 2026.02.17 |
| 윈도우 서버를 노리는 러시아산 Prometei 봇넷 변종 (0) | 2026.02.16 |