關(guān)鍵詞

漏洞

一款名為PCPcat的新型惡意軟件，通過(guò)針對(duì)性利用 Next.js 和 React 框架中的高危漏洞，在不到 48 小時(shí)內(nèi)成功攻陷了 5.9 萬(wàn)余臺(tái)服務(wù)器。

該惡意軟件以 Next.js 部署環(huán)境為攻擊目標(biāo)，利用兩個(gè)高危漏洞 ——CVE-2025-29927 和 CVE-2025-66478，實(shí)現(xiàn)無(wú)需身份驗(yàn)證的遠(yuǎn)程代碼執(zhí)行。攻擊過(guò)程采用原型污染（prototype pollution）和命令注入（command injection）技術(shù)，在易受攻擊的服務(wù)器上執(zhí)行惡意命令。

這場(chǎng)攻擊活動(dòng)的成功率高達(dá)64.6%，在同類攻擊行動(dòng)中實(shí)屬罕見(jiàn)。PCPcat 大規(guī)模掃描面向公眾的 Next.js 應(yīng)用程序，每批次測(cè)試2,000個(gè)目標(biāo)，每30至60分鐘運(yùn)行一次此類掃描。

該惡意軟件通過(guò)位于新加坡的一個(gè)命令控制服務(wù)器進(jìn)行操作，該服務(wù)器協(xié)調(diào)著三個(gè)主要端口上的活動(dòng)。

666 端口：惡意載荷分發(fā)中心

888 端口：處理反向隧道連接

5656 端口：運(yùn)行主控制服務(wù)器，負(fù)責(zé)分配攻擊目標(biāo)并收集竊取的數(shù)據(jù)

安全研究人員在對(duì) Docker 蜜罐進(jìn)行持續(xù)監(jiān)控時(shí)，通過(guò)對(duì) C2 服務(wù)器的偵察，發(fā)現(xiàn)了該攻擊行動(dòng)的完整基礎(chǔ)設(shè)施。

Beelzebub 的安全分析師指出，惡意軟件在啟動(dòng)完整攻擊鏈前，會(huì)先通過(guò)一條簡(jiǎn)單命令測(cè)試目標(biāo)服務(wù)器是否存在漏洞。

一旦發(fā)現(xiàn)易受攻擊的服務(wù)器，PCPcat 會(huì)提取環(huán)境配置文件、云服務(wù)憑證、SSH 密鑰及命令歷史文件，并通過(guò)無(wú)需身份驗(yàn)證的簡(jiǎn)單 HTTP 請(qǐng)求將竊取的信息回傳至控制服務(wù)器。

竊取憑證后，惡意軟件會(huì)嘗試安裝額外工具以維持長(zhǎng)期控制，具體包括下載腳本在受攻陷服務(wù)器上部署 GOST 代理軟件和 FRP 反向隧道工具 —— 這些工具能創(chuàng)建隱藏通道，即便初始漏洞被修復(fù)，攻擊者仍可保持訪問(wèn)權(quán)限。

漏洞利用機(jī)制與代碼執(zhí)行流程

攻擊的核心原理是向漏洞 Next.js 服務(wù)器發(fā)送特制 JSON 載荷，該載荷通過(guò)操縱 JavaScript 原型鏈，將命令注入子進(jìn)程執(zhí)行函數(shù)。惡意載荷結(jié)構(gòu)如下：

該載荷可強(qiáng)制服務(wù)器執(zhí)行攻擊者指定的任意命令，執(zhí)行結(jié)果會(huì)通過(guò)特殊格式的重定向響應(yīng)頭返回，使惡意軟件能在不引發(fā)即時(shí)警覺(jué)的情況下提取數(shù)據(jù)。

隨后，PCPcat 會(huì)系統(tǒng)性搜索高價(jià)值文件，包括.aws 文件夾中的 AWS 憑證、Docker 配置文件、Git 憑證以及包含近期執(zhí)行命令的 bash 歷史記錄。

為實(shí)現(xiàn)持久化控制，惡意軟件會(huì)創(chuàng)建多個(gè)系統(tǒng)服務(wù)，這些服務(wù)在被終止或服務(wù)器重啟后會(huì)自動(dòng)重啟，持續(xù)運(yùn)行代理工具和掃描工具，使受攻陷服務(wù)器始終處于僵尸網(wǎng)絡(luò)中。

相關(guān)組件會(huì)安裝在多個(gè)位置，確保至少有一個(gè)副本能在安全清理操作中幸存。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！