文章总结： 研究人员发现名为PCPcat的网络间谍活动利用Next.js框架漏洞CVE-2025-29927等在48小时内入侵近6万台服务器。攻击者通过原型污染实现RCE并部署后门窃取云凭证和SSH密钥。因C2服务器缺乏认证，攻击规模得以曝光。建议组织立即修补漏洞、阻断C2IP并轮换凭据。 综合评分： 90 文章分类： 威胁情报,漏洞分析,WEB安全,漏洞预警,应急响应

PCPcat行动：短短48小时内6万台Next.js服务器被劫持

sec随谈

sec随谈

2025年12月24日 08:52 北京

一场高度自动化且效率惊人的网络间谍活动正在肆虐现代网络应用程序的云基础设施，导致数万台服务器遭到入侵。Beelzebub 研究团队发布的一份新报告详细介绍了名为“PCPcat”的网络间谍活动的发现。该活动利用了流行的 Next.js 和 React 框架中的漏洞，实现了惊人的感染率。

该攻击活动通过 Docker 蜜罐被发现，其特点是速度极快。攻击者利用 CVE-2025-29927 和 CVE-2025-66478 漏洞，在不到两天的时间内成功攻陷了 59,128 台服务器。

该攻击组织通过其文件中发现的“PCP”签名进行识别，他们并非仅仅篡改网站，而是在进行大规模的数据窃取行动。该恶意软件会系统性地搜寻“通往王国之钥”——云凭证、SSH密钥和环境变量（.env文件），以便进行更深层次的网络跳转。

报告指出： “此次行动展现了大规模情报行动和工业规模数据窃取的特征。 ”

攻击者利用复杂的攻击链，包括JSON有效载荷篡改和原型污染，来实现远程代码执行（RCE）。一旦入侵成功，恶意软件会使用GOST（SOCKS5代理）和FRP（快速反向代理）安装持久后门，从而有效地将受感染的服务器变成其僵尸网络中的僵尸节点。

最令研究人员震惊的是此次行动的效率。与通常效果不佳的“广撒网”式攻击不同，PCPcat 的命中率高得惊人。

“关键发现：通过对活跃的 C2 服务器进行直接侦察，我们确认此次攻击活动在不到 48 小时内已攻陷 59,128 台服务器，攻击成功率达 64.6%”。

这种异常高的成功率表明攻击者使用了精心挑选的目标列表，或者漏洞非常普遍且尚未修复。

具有讽刺意味的是，攻击者在利用他人安全漏洞的同时，他们自身的基础设施却漏洞百出。研究人员发现，托管在新加坡的命令与控制（C2）API 缺乏基本的身份验证机制。

分析显示，“没有身份验证/授权：任何人都可以访问端点”。

这一疏忽使得研究人员能够直接查询C2服务器，从而揭露了此次行动的全部规模。他们发现，该行动的“random_ips”模式扫描了超过91000个目标，表明其攻击目标完全没有区分。

这种速度的后果不堪设想。由于该行动每天大约要处理32批目标，感染人数正以每小时的速度攀升。

“按照目前的速度，该攻击活动可能在一个月内影响超过 120 万台服务器”。

运行面向公众的 Next.js 或 React 应用程序的组织应立即打补丁，阻止已识别的 C2 IP (67.217.57.240)，并轮换可能已在环境文件中暴露的任何凭据。

参考链接：

https://beelzebub.ai/blog/threat-huntinga-analysis-of-a-nextjs-exploit-campaign/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈《PCPcat行动：短短48小时内6万台Next.js服务器被劫持》