文章总结： PCPcat恶意软件针对Next.js部署环境，利用CVE-2025-29927和CVE-2025-66478漏洞实现远程代码执行，在48小时内攻陷5.9万余台服务器，成功率64.6%。攻击者通过命令控制服务器窃取凭证、部署持久化工具，建议企业及时更新框架并部署蜜罐监控。 综合评分： 76 文章分类： 恶意软件,漏洞分析,威胁情报,WEB安全,安全大事件

【安全圈】PCPcat 恶意软件利用 React2Shell 漏洞攻击 5.9 万余台服务器

安全圈

2025年12月16日 19:00 江苏

关键词

漏洞

一款名为PCPcat的新型恶意软件，通过针对性利用 Next.js 和 React 框架中的高危漏洞，在不到 48 小时内成功攻陷了 5.9 万余台服务器。

该恶意软件以 Next.js 部署环境为攻击目标，利用两个高危漏洞 ——CVE-2025-29927 和 CVE-2025-66478，实现无需身份验证的远程代码执行。攻击过程采用原型污染（prototype pollution）和命令注入（command injection）技术，在易受攻击的服务器上执行恶意命令。

这场攻击活动的成功率高达64.6%，在同类攻击行动中实属罕见。PCPcat 大规模扫描面向公众的 Next.js 应用程序，每批次测试2,000个目标，每30至60分钟运行一次此类扫描。

该恶意软件通过位于新加坡的一个命令控制服务器进行操作，该服务器协调着三个主要端口上的活动。

666 端口：恶意载荷分发中心

888 端口：处理反向隧道连接

5656 端口：运行主控制服务器，负责分配攻击目标并收集窃取的数据

安全研究人员在对 Docker 蜜罐进行持续监控时，通过对 C2 服务器的侦察，发现了该攻击行动的完整基础设施。

Beelzebub 的安全分析师指出，恶意软件在启动完整攻击链前，会先通过一条简单命令测试目标服务器是否存在漏洞。

一旦发现易受攻击的服务器，PCPcat 会提取环境配置文件、云服务凭证、SSH 密钥及命令历史文件，并通过无需身份验证的简单 HTTP 请求将窃取的信息回传至控制服务器。

窃取凭证后，恶意软件会尝试安装额外工具以维持长期控制，具体包括下载脚本在受攻陷服务器上部署 GOST 代理软件和 FRP 反向隧道工具 —— 这些工具能创建隐藏通道，即便初始漏洞被修复，攻击者仍可保持访问权限。

漏洞利用机制与代码执行流程

攻击的核心原理是向漏洞 Next.js 服务器发送特制 JSON 载荷，该载荷通过操纵 JavaScript 原型链，将命令注入子进程执行函数。恶意载荷结构如下：

该载荷可强制服务器执行攻击者指定的任意命令，执行结果会通过特殊格式的重定向响应头返回，使恶意软件能在不引发即时警觉的情况下提取数据。

随后，PCPcat 会系统性搜索高价值文件，包括.aws 文件夹中的 AWS 凭证、Docker 配置文件、Git 凭证以及包含近期执行命令的 bash 历史记录。

为实现持久化控制，恶意软件会创建多个系统服务，这些服务在被终止或服务器重启后会自动重启，持续运行代理工具和扫描工具，使受攻陷服务器始终处于僵尸网络中。

相关组件会安装在多个位置，确保至少有一个副本能在安全清理操作中幸存。

END

阅读推荐

【安全圈】59元汉堡套餐“0元购”？上海一男子利用知名快餐APP系统漏洞，改价代下单1300笔牟利！

【安全圈】民警黄某某任职期间开设网店，用密钥查询公民个人车辆信息，售出40多条获利2.4万元

【安全圈】为无人机“黑飞”提供破解服务，被刑拘！

【安全圈】网络操纵黑产调查：灰产SIM卡如何豢养虚拟水军操控舆论

【安全圈】黑客新套路：利用莱昂纳多主演新电影，连环设陷入侵你的电脑

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

查看原文：《【安全圈】PCPcat 恶意软件利用 React2Shell 漏洞攻击 5.9 万余台服务器》