一场高度自动化且极其高效的网络间谍活动正在席卷现代Web应用的云基础设施,已导致数万台服务器沦陷。Beelzebub研究团队最新报告披露了名为"PCPcat"的攻击行动,该行动利用流行的Next.js和React框架中的漏洞实现惊人感染率。
闪电式攻击规模惊人
通过Docker蜜罐发现的此次攻击以惊人速度著称。攻击者利用(CVE-2025-29927)和(CVE-2025-66478)漏洞,在不到两天内就攻陷了59,128台服务器。
数据窃取工业级操作
攻击组织在文件中留下"PCP"特征标记,其目标不仅是篡改网站。他们正在实施大规模数据收集行动,恶意软件系统性地搜寻"王国的钥匙"——云凭证、SSH密钥和环境变量(.env文件),以实现更深层的网络渗透。
报告指出:"该行动展现出工业级大规模情报操作和数据外泄特征。"
精密攻击链曝光
攻击者采用涉及JSON载荷操纵和原型污染的复杂漏洞利用链实现远程代码执行(RCE)。入侵后,恶意软件使用GOST(SOCKS5代理)和FRP(快速反向代理)安装持久后门,将被攻陷服务器变为僵尸网络节点。
最令研究人员震惊的是攻击效率。与通常成功率低的"广撒网"式攻击不同,PCPcat的命中精度令人胆寒。
关键发现
"通过直接侦察活跃C2服务器,我们确认该行动在48小时内已攻陷59,128台服务器,漏洞利用成功率达64.6%。"
异常高的成功率表明攻击者可能使用精心筛选的目标列表,或该漏洞极为普遍且未修补。
攻击者自身漏洞暴露
讽刺的是,当攻击者利用他人安全漏洞时,其自身基础设施却门户大开。研究人员发现位于新加坡的命令控制(C2)API缺乏基本身份验证。
分析显示:"无任何认证/授权机制:任何人都可访问端点。"这一疏忽使研究人员能直接查询C2服务器,暴露整个行动规模。他们发现该行动的"random_ips"模式正在扫描超过91,000个目标,显示其攻击毫无选择性。
紧急应对建议
当前攻击速度令人担忧。该行动每天处理约32批目标,感染数量每小时都在攀升。"按此速度,一个月内可能攻陷超过120万台服务器。"
运行对外Next.js或React应用的组织应立即打补丁,屏蔽已识别的C2 IP(67.217.57.240),并轮换环境文件中可能暴露的所有凭证。
