一款名为PCPcat的新型恶意软件,通过针对性利用 Next.js 和 React 框架中的高危漏洞,在不到 48 小时内成功攻陷了 5.9 万余台服务器。
该恶意软件以 Next.js 部署环境为攻击目标,利用两个高危漏洞 ——CVE-2025-29927 和 CVE-2025-66478,实现无需身份验证的远程代码执行。攻击过程采用原型污染(prototype pollution)和命令注入(command injection)技术,在易受攻击的服务器上执行恶意命令。
这场攻击活动的成功率高达64.6%,在同类攻击行动中实属罕见。PCPcat 大规模扫描面向公众的 Next.js 应用程序,每批次测试2,000个目标,每30至60分钟运行一次此类扫描。
该恶意软件通过位于新加坡的一个命令控制服务器进行操作,该服务器协调着三个主要端口上的活动。
666 端口:恶意载荷分发中心
888 端口:处理反向隧道连接
5656 端口:运行主控制服务器,负责分配攻击目标并收集窃取的数据
安全研究人员在对 Docker 蜜罐进行持续监控时,通过对 C2 服务器的侦察,发现了该攻击行动的完整基础设施。
Beelzebub 的安全分析师指出,恶意软件在启动完整攻击链前,会先通过一条简单命令测试目标服务器是否存在漏洞。
一旦发现易受攻击的服务器,PCPcat 会提取环境配置文件、云服务凭证、SSH 密钥及命令历史文件,并通过无需身份验证的简单 HTTP 请求将窃取的信息回传至控制服务器。
窃取凭证后,恶意软件会尝试安装额外工具以维持长期控制,具体包括下载脚本在受攻陷服务器上部署 GOST 代理软件和 FRP 反向隧道工具 —— 这些工具能创建隐藏通道,即便初始漏洞被修复,攻击者仍可保持访问权限。
漏洞利用机制与代码执行流程
攻击的核心原理是向漏洞 Next.js 服务器发送特制 JSON 载荷,该载荷通过操纵 JavaScript 原型链,将命令注入子进程执行函数。恶意载荷结构如下:
该载荷可强制服务器执行攻击者指定的任意命令,执行结果会通过特殊格式的重定向响应头返回,使恶意软件能在不引发即时警觉的情况下提取数据。
随后,PCPcat 会系统性搜索高价值文件,包括.aws 文件夹中的 AWS 凭证、Docker 配置文件、Git 凭证以及包含近期执行命令的 bash 历史记录。
为实现持久化控制,恶意软件会创建多个系统服务,这些服务在被终止或服务器重启后会自动重启,持续运行代理工具和扫描工具,使受攻陷服务器始终处于僵尸网络中。
相关组件会安装在多个位置,确保至少有一个副本能在安全清理操作中幸存。
消息来源:cybersecuritynews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容