攻击概况
新型恶意软件PCPcat通过针对性利用Next.js和React框架中的关键漏洞,在48小时内成功入侵了超过5.9万台服务器。该恶意软件利用两个关键漏洞(CVE-2025-29927和CVE-2025-66478)攻击Next.js部署环境,这些漏洞允许未经身份验证的远程代码执行。
攻击技术分析
攻击采用原型污染和命令注入技术,在易受攻击的服务器上执行恶意命令。该活动显示出64.6%的成功率,对于此类操作而言异常之高。PCPcat大规模扫描面向公众的Next.js应用,每批测试2000个目标,每30至60分钟运行一次扫描。
恶意软件通过位于新加坡的命令与控制服务器运作,主要使用三个端口:
- 端口666:作为恶意负载分发中心
- 端口888:处理反向隧道连接
- 端口5656:运行主控服务器,负责分配目标并收集窃取的数据
攻击流程
安全分析师通过Docker蜜罐监控发现,恶意软件首先使用简单命令测试目标是否易受攻击,确认后才会发起完整攻击链。一旦发现易受攻击的服务器,就会提取环境文件、云凭证、SSH密钥和命令历史文件。窃取的信息通过无需身份验证的简单HTTP请求发送回控制服务器。
获取凭证后,恶意软件会尝试安装额外工具以维持长期访问权限,包括下载脚本在受感染服务器上设置GOST代理软件和FRP反向隧道工具,这些工具创建隐藏通道,使攻击者即使在初始漏洞修复后仍能保持访问。
漏洞利用机制
攻击通过向易受攻击的Next.js服务器发送特制JSON负载实现,该负载操纵JavaScript原型链并将命令注入子进程执行函数。恶意负载结构如下:
payload = {
"then": "q:__proto__:then",
"status": "resolved_model",
"_response": {
"_prefix": "var res=process.mainModule.require('child_process')
.execSync('COMMAND_HERE').toString();"
}
}该负载强制服务器运行攻击者指定的任何命令,结果通过特殊格式的重定向头返回,使恶意软件能够在不立即引起怀疑的情况下提取数据。
持久化与检测
为保持持久性,恶意软件创建多个系统服务,这些服务在停止或服务器重启时会自动重启,持续运行代理和扫描工具,确保受感染服务器保持在僵尸网络中。安装过程发生在多个位置,以确保至少一个副本能在安全清理工作中存活。
网络管理员可通过以下方式检测此活动:
- 监控与命令服务器IP地址67.217.57.240在端口666、888和5656上的连接
- 查找名称包含pcpcat的systemd服务
- 检查携带包含环境变量或凭证的JSON数据的异常出站连接