江蘇
關鍵詞
漏洞
一款名為PCPcat的新型惡意軟件,通過針對性利用 Next.js 和 React 框架中的高危漏洞,在不到 48 小時內成功攻陷了 5.9 萬余臺服務器。
該惡意軟件以 Next.js 部署環境為攻擊目標,利用兩個高危漏洞 ——CVE-2025-29927 和 CVE-2025-66478,實現無需身份驗證的遠程代碼執行。攻擊過程采用原型污染(prototype pollution)和命令注入(command injection)技術,在易受攻擊的服務器上執行惡意命令。
這場攻擊活動的成功率高達64.6%,在同類攻擊行動中實屬罕見。PCPcat 大規模掃描面向公眾的 Next.js 應用程序,每批次測試2,000個目標,每30至60分鐘運行一次此類掃描。
該惡意軟件通過位于新加坡的一個命令控制服務器進行操作,該服務器協調著三個主要端口上的活動。
666 端口:惡意載荷分發中心
888 端口:處理反向隧道連接
5656 端口:運行主控制服務器,負責分配攻擊目標并收集竊取的數據
安全研究人員在對 Docker 蜜罐進行持續監控時,通過對 C2 服務器的偵察,發現了該攻擊行動的完整基礎設施。
Beelzebub 的安全分析師指出,惡意軟件在啟動完整攻擊鏈前,會先通過一條簡單命令測試目標服務器是否存在漏洞。
一旦發現易受攻擊的服務器,PCPcat 會提取環境配置文件、云服務憑證、SSH 密鑰及命令歷史文件,并通過無需身份驗證的簡單 HTTP 請求將竊取的信息回傳至控制服務器。
竊取憑證后,惡意軟件會嘗試安裝額外工具以維持長期控制,具體包括下載腳本在受攻陷服務器上部署 GOST 代理軟件和 FRP 反向隧道工具 —— 這些工具能創建隱藏通道,即便初始漏洞被修復,攻擊者仍可保持訪問權限。
漏洞利用機制與代碼執行流程
攻擊的核心原理是向漏洞 Next.js 服務器發送特制 JSON 載荷,該載荷通過操縱 JavaScript 原型鏈,將命令注入子進程執行函數。惡意載荷結構如下:
該載荷可強制服務器執行攻擊者指定的任意命令,執行結果會通過特殊格式的重定向響應頭返回,使惡意軟件能在不引發即時警覺的情況下提取數據。
隨后,PCPcat 會系統性搜索高價值文件,包括.aws 文件夾中的 AWS 憑證、Docker 配置文件、Git 憑證以及包含近期執行命令的 bash 歷史記錄。
為實現持久化控制,惡意軟件會創建多個系統服務,這些服務在被終止或服務器重啟后會自動重啟,持續運行代理工具和掃描工具,使受攻陷服務器始終處于僵尸網絡中。
相關組件會安裝在多個位置,確保至少有一個副本能在安全清理操作中幸存。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
