Μια τεράστια καμπάνια κλοπής διαπιστευτηρίων με την ονομασία PCPcat παραβίασε 59.128 διακομιστές Next.js σε λιγότερο από 48 ώρες. Η λειτουργία εκμεταλλεύεται κρίσιμα τρωτά σημεία CVE-2025-29927 και CVE-2025-66478, επιτυγχάνοντας ποσοστό επιτυχίας 64,6% σε 91.505 σαρωμένους στόχους.
Οι σαρωτές PCPCat, που διανέμονται μέσω κακόβουλου λογισμικού react.py, εξετάζουν τις δημόσιες αναπτύξεις Next.js για ελαττώματα απομακρυσμένης εκτέλεσης κώδικα. Οι εισβολείς χρησιμοποιούν πρωτότυπη ρύπανση σε ωφέλιμα φορτία JSON για να εισάγουν εντολές μέσω child_process.execSync(), επιβεβαιώνοντας το RCE με μια δοκιμή “id” πριν από την εξαγωγή διαπιστευτηρίων από αρχεία .env, κλειδιά SSH, ρυθμίσεις παραμέτρων AWS, διακριτικά Docker, διαπιστευτήρια Git και ιστορικό bash.
Σύμφωνα με την ανάλυση του Mario Candela, thΚατόπιν, οι κεντρικοί υπολογιστές σε κίνδυνο κατεβάστε το proxy.sh από το 67.217.57.240:666, εγκαθιστώντας διακομιστή μεσολάβησης GOST SOCKS5, αντίστροφες σήραγγες FRP και μόνιμες υπηρεσίες systemd όπως το pcpcat-gost.service.
C2 Υποδομή Εκτεθειμένη
Ο διακομιστής εντολών και ελέγχου στο 67.217.57.240:5656 εκτελεί ένα μη πιστοποιημένο API, με δημόσια διαρροή στατιστικών στοιχείων μέσω GET /stats: σαρώθηκαν 91.505 IP, 59.128 επιτυχίες, μέγεθος παρτίδας 2.000 τυχαίων IP.
Οι κόμβοι ανακτούν στόχους μέσω του GET /domains?client=διηθήστε δεδομένα μέσω POST /result (έως 2 MB ωφέλιμα φορτία JSON) και ελέγξτε την υγεία στο /health. Αναγνώριση honeypot του Candela επιβεβαιωμένος απορρόφηση δεδομένων, με σήραγγα FRP στη θύρα 888 που επιτρέπει την περιστροφή.
| Τελικό σημείο | Σκοπός | Κατάσταση |
|---|---|---|
| /domains?client= | Ανάθεση στόχου | Ενεργός |
| /αποτέλεσμα | Διήθηση διαπιστευτηρίων | Δέχεται δεδομένα |
| /stats | Μετρήσεις καμπάνιας | Εκθέτει 59.000 συμβιβασμούς |
| /υγεία | Έλεγχος διακομιστή | Ευαίσθητος |
Τα βασικά IoC περιλαμβάνουν διευθύνσεις IP C2 (67.217.57.240 θύρες 666/888/5656), αρχεία (/opt/pcpcat/*, ~/.pcpcat_installed), διεργασίες (gost -L socks5://:1080, frpc) και αρχεία καταγραφής (“Pc. Τα Honeypots κατέγραψαν την κατάχρηση του Docker API στη θύρα 2375 για επιμονή σε κοντέινερ.
Οι κανόνες ανίχνευσης καλύπτουν ειδοποιήσεις Suricata για /result POST με ωφέλιμα φορτία “env” και YARA για συμβολοσειρές react.py όπως “CVE-2025-29927” και “PCPcat”.
Αποδίδεται στο “PCP Cat” μέσω των καναλιών Telegram t.me/teampcp, η καμπάνια αντιστοιχίζεται σε τεχνικές MITER ATT&CK όπως το T1190 (δημόσια εκμετάλλευση εφαρμογής) και το T1552 (μη ασφαλή διαπιστευτήρια).
Οι προβλέψεις υπολογίζουν 41.000 καθημερινούς συμβιβασμούς, με αποτέλεσμα τη συλλογή 300.000+ διαπιστευτηρίων για εξαγορές ή μεταπώληση cloud. Οι χρήστες του Next.js πρέπει να επιδιορθώσουν επειγόντως, να αποκλείσουν τομείς C2, να περιστρέψουν κλειδιά και να παρακολουθήσουν για ανωμαλίες του συστήματος.
