Beelzebub研究团队发布的最新报告揭露了名为“PCPcat”的攻击行动,该行动利用主流前端框架Next.js与React中的安全漏洞,实现了极高的感染成功率。
一场高度自动化且极其高效的网络间谍活动正在席卷现代Web应用的云基础设施,已导致数以万计的服务器沦陷。研究团队指出,攻击者通过利用这些广泛使用的技术栈中的漏洞,能够迅速建立庞大的僵尸网络。
攻击规模与速度令人咋舌
根据Docker蜜罐监测到的数据,此次攻击行动以惊人的速度展开。攻击者利用了编号为CVE-2025-29927和CVE-2025-66478的两个高危漏洞,在短短不到48小时内就成功入侵了超过5.9万台服务器。
工业级数据窃取行动
攻击组织在受感染系统中留下了“PCP”特征标记,其目标已远不止简单的网站篡改。他们正在进行大规模数据收集,恶意软件会系统性搜索被称为“数字王国钥匙”的云凭证、SSH密钥以及敏感的环境变量文件,以实现更深层次的网络横向渗透。
报告明确指出:“该行动展现出工业级的大规模情报操作和数据外泄特征。”
精密攻击链浮出水面
攻击者采用了涉及JSON载荷操纵和原型污染的复杂漏洞利用链,以此实现远程代码执行。一旦入侵成功,恶意软件便会利用GOST代理和FRP反向代理工具安装持久化后门,将被攻陷的服务器变为僵尸网络节点。
最令研究人员感到震惊的是其攻击效率。与通常成功率较低的“广撒网”式攻击截然不同,PCPcat的攻击精准度达到了骇人听闻的水平。
关键数据与惊人发现
“通过对活跃C2服务器进行直接侦测,我们确认该行动在48小时内已攻陷59,128台服务器,漏洞利用成功率高达64.6%。”
这一异常之高的成功率表明,攻击者可能使用了经过精心筛选的目标列表,或者相关漏洞的分布极为广泛且尚未得到有效修补。
攻击者自身露出破绽
讽刺的是,当攻击者利用他人安全漏洞时,其自身基础设施却门户大开。研究人员发现,位于新加坡的命令与控制API服务器竟然缺乏最基本的身份验证机制。
分析显示:“该端点没有任何认证或授权机制,任何人都可以直接访问。”正是这一疏忽使研究人员得以直接查询C2服务器,从而获悉整个攻击行动的规模。他们发现该行动的“random_ips”模式正在扫描超过9.1万个目标,显示其攻击范围毫无选择性。
紧急应对措施建议
当前攻击速度令人担忧。该行动每天处理约32批目标,感染数量每小时都在攀升。“按此速度,一个月内可能攻陷超过120万台服务器。”
所有对外运行Next.js或React应用的组织应立即安装补丁,阻止已识别的恶意C2服务器IP地址(67.217.57.240),并轮换环境配置文件中所有可能暴露的访问凭证。
