攻擊概況

新型惡意軟件PCPcat通過針對性利用Next.js和React框架中的關鍵漏洞，在48小時內成功入侵了超過5.9萬臺服務器。該惡意軟件利用兩個關鍵漏洞（CVE-2025-29927和CVE-2025-66478）攻擊Next.js部署環境，這些漏洞允許未經身份驗證的遠程代碼執行。

攻擊技術分析

攻擊采用原型污染和命令注入技術，在易受攻擊的服務器上執行惡意命令。該活動顯示出64.6%的成功率，對于此類操作而言異常之高。PCPcat大規模掃描面向公眾的Next.js應用，每批測試2000個目標，每30至60分鐘運行一次掃描。

惡意軟件通過位于新加坡的命令與控制服務器運作，主要使用三個端口：

• 端口666：作為惡意負載分發中心
• 端口888：處理反向隧道連接
• 端口5656：運行主控服務器，負責分配目標并收集竊取的數據

攻擊流程

安全分析師通過Docker蜜罐監控發現，惡意軟件首先使用簡單命令測試目標是否易受攻擊，確認后才會發起完整攻擊鏈。一旦發現易受攻擊的服務器，就會提取環境文件、云憑證、SSH密鑰和命令歷史文件。竊取的信息通過無需身份驗證的簡單HTTP請求發送回控制服務器。

獲取憑證后，惡意軟件會嘗試安裝額外工具以維持長期訪問權限，包括下載腳本在受感染服務器上設置GOST代理軟件和FRP反向隧道工具，這些工具創建隱藏通道，使攻擊者即使在初始漏洞修復后仍能保持訪問。

漏洞利用機制

攻擊通過向易受攻擊的Next.js服務器發送特制JSON負載實現，該負載操縱JavaScript原型鏈并將命令注入子進程執行函數。惡意負載結構如下：

payload = {
    "then": "q:__proto__:then",
    "status": "resolved_model",
    "_response": {
        "_prefix": "var res=process.mainModule.require('child_process')
                    .execSync('COMMAND_HERE').toString();"
    }
}

該負載強制服務器運行攻擊者指定的任何命令，結果通過特殊格式的重定向頭返回，使惡意軟件能夠在不立即引起懷疑的情況下提取數據。

持久化與檢測

為保持持久性，惡意軟件創建多個系統服務，這些服務在停止或服務器重啟時會自動重啟，持續運行代理和掃描工具，確保受感染服務器保持在僵尸網絡中。安裝過程發生在多個位置，以確保至少一個副本能在安全清理工作中存活。

網絡管理員可通過以下方式檢測此活動：

• 監控與命令服務器IP地址67.217.57.240在端口666、888和5656上的連接
• 查找名稱包含pcpcat的systemd服務
• 檢查攜帶包含環境變量或憑證的JSON數據的異常出站連接