新型PCPcat恶意软件利用React2Shell漏洞48小时内入侵超5.9万台服务器

攻击概况

新型恶意软件PCPcat通过针对性利用Next.js和React框架中的关键漏洞,在48小时内成功入侵了超过5.9万台服务器。该恶意软件利用两个关键漏洞(CVE-2025-29927和CVE-2025-66478)攻击Next.js部署环境,这些漏洞允许未经身份验证的远程代码执行。

攻击技术分析

攻击采用原型污染和命令注入技术,在易受攻击的服务器上执行恶意命令。该活动显示出64.6%的成功率,对于此类操作而言异常之高。PCPcat大规模扫描面向公众的Next.js应用,每批测试2000个目标,每30至60分钟运行一次扫描。

恶意软件通过位于新加坡的命令与控制服务器运作,主要使用三个端口:

  • 端口666:作为恶意负载分发中心
  • 端口888:处理反向隧道连接
  • 端口5656:运行主控服务器,负责分配目标并收集窃取的数据

攻击流程

安全分析师通过Docker蜜罐监控发现,恶意软件首先使用简单命令测试目标是否易受攻击,确认后才会发起完整攻击链。一旦发现易受攻击的服务器,就会提取环境文件、云凭证、SSH密钥和命令历史文件。窃取的信息通过无需身份验证的简单HTTP请求发送回控制服务器。

获取凭证后,恶意软件会尝试安装额外工具以维持长期访问权限,包括下载脚本在受感染服务器上设置GOST代理软件和FRP反向隧道工具,这些工具创建隐藏通道,使攻击者即使在初始漏洞修复后仍能保持访问。

漏洞利用机制

攻击通过向易受攻击的Next.js服务器发送特制JSON负载实现,该负载操纵JavaScript原型链并将命令注入子进程执行函数。恶意负载结构如下:

复制代码
payload = {
    "then": "q:__proto__:then",
    "status": "resolved_model",
    "_response": {
        "_prefix": "var res=process.mainModule.require('child_process')
                    .execSync('COMMAND_HERE').toString();"
    }
}

该负载强制服务器运行攻击者指定的任何命令,结果通过特殊格式的重定向头返回,使恶意软件能够在不立即引起怀疑的情况下提取数据。

持久化与检测

为保持持久性,恶意软件创建多个系统服务,这些服务在停止或服务器重启时会自动重启,持续运行代理和扫描工具,确保受感染服务器保持在僵尸网络中。安装过程发生在多个位置,以确保至少一个副本能在安全清理工作中存活。

网络管理员可通过以下方式检测此活动:

  • 监控与命令服务器IP地址67.217.57.240在端口666、888和5656上的连接
  • 查找名称包含pcpcat的systemd服务
  • 检查携带包含环境变量或凭证的JSON数据的异常出站连接
相关推荐
Sirius Wu12 小时前
OpenClaw Skill:Matplotlib 可视化技能 + 沙箱双层隔离完整详解
服务器·网络·人工智能·安全·ai·架构·aigc
J-Tony1112 小时前
【Redis】 Redis 是单线程还是多线程
服务器·数据库·mysql
AOwhisky14 小时前
下一代容器来了?Docker 宣布原生支持 WebAssembly
java·运维·docker·容器·rust·wasm
YYYing.17 小时前
【C++大型项目之高性能服务器框架 (七) 】Socket与ByteArray模块
服务器·c++·后端·框架·高性能·c/c++
摇滚侠17 小时前
Linux 零基础教程 09、11、77
linux·运维·服务器
Lottie202617 小时前
电商自动化提质增效:API接口落地的核心价值与实战用法
运维·自动化
Hardworking66619 小时前
第6章 数据工程
运维·服务器·数据库·数据工程
jieyucx19 小时前
Docker 入门第六阶段:综合实战项目
运维·docker·容器
美丽的欣情20 小时前
RK3588 Debian 交叉编译环境搭建(Windows + VMware Debian + CMake)
运维·windows·debian
_kerneler20 小时前
cgroup :限制cpu原理
java·服务器·前端