文章总结： 研究人员发现PCPcat行动利用Next.js漏洞在48小时内攻破超5.9万台服务器窃取云凭证。攻击者通过恶意软件执行RCE并建立持久化，目标转向基础设施入侵。建议立即修补漏洞、轮换凭证、限制Node.js权限并监控异常流量。 综合评分： 86 文章分类： 漏洞分析,威胁情报,漏洞预警,云安全,应急响应

48小时内5.9万台服务器遭黑客攻击

会杀毒的单反狗

军哥网络安全读报

2025年12月29日 09:01 湖北

导读

研究人员发现了一项攻击活动，该活动在不到 48 小时内攻破了超过 59,000 台面向互联网的 Next.js 服务器，这标志着自动化凭证窃取行为正在危险地升级。

该行动被称为“PCPcat 行动”，它利用流行的基于 React 的 Web 基础设施中的关键漏洞，大规模地窃取云凭证。

5.9万台服务器在数小时内遭到入侵

根据 Candela 的调查，PCPcat 行动在大约 33 小时内扫描了超过 91,000 个公共 Next.js 部署，成功攻破了其中的 59,128 个——成功率为 64.6%。

攻击者利用了两个严重漏洞，分别为CVE-2025-29927和CVE-2025-66478，这两个漏洞如果不加以修补，都会导致远程代码执行 (RCE)。

受影响的环境包括生产网络服务器、开发系统以及AWS、Azure和Google云平台上的云托管应用程序。

一旦系统被攻破，就会被用作凭证收集节点，从环境文件、SSH 配置、云提供商凭证存储、Docker 令牌、Git 存储库和 shell 历史记录中提取机密信息。

这种方法表明，重点在于长期访问、云转型和凭证转售，而不是简单的颠覆。

PCPcat 剥削链内部

PCPcat 依赖于一个基于 Python 的恶意软件组件react.py，它会探测暴露的 Next.js 服务器，寻找与原型污染缺陷相关的可利用条件。

攻击者通过注入精心构造的 JSON 有效载荷，操纵应用程序对象，并通过 Node.js 子进程函数执行系统级命令。

首先使用简单的id命令验证攻击是否成功，然后再进行完整的凭证收集。

数据提取后，受感染的主机从攻击者的基础设施下载二级有效载荷，该有效载荷会安装多个持久化机制。

这些服务包括使用 GOST 的 SOCKS5 代理服务、用于启用入站访问的 FRP 反向隧道，以及确保恶意软件在重启后仍然存在的 systemd 服务。

蜜罐遥测数据还揭示了对暴露的 Docker API 的滥用，使攻击者能够在可能的情况下建立基于容器的持久性。

PCPcat 行动暴露了一个未经身份验证的API

PCPcat 最令人担忧的方面之一是攻击者在操作安全方面的失败。该攻击活动的主要指挥控制服务器暴露了一个未经身份验证的 API，从而公开泄露了操作指标。

研究人员通过/stats端点实时确认了扫描目标的数量、成功的入侵次数和任务行为。

其他端点负责处理目标分布、数据泄露和健康检查——有效地提供了攻击的实时仪表板。

这种可见性使研究人员不仅可以确认该活动的规模，还可以确认其自动化程度、批量处理行为和持续活动。

加强云端应用环境

运行 Next.js 和 React 应用程序的组织应将暴露的服务和凭证视为潜在风险，尤其是在云和容器化环境中。

有效降低风险需要协调一致的补丁管理、凭证管理、运行时加固以及跨应用和基础架构层的持续监控。

• 立即应用CVE-2025-29927和 CVE-2025-66478 补丁，并将 Next.js 和 React 应用程序的公开暴露限制为仅必要的服务。
• 轮换所有可能暴露的凭据，并将密钥从.env文件迁移到使用短期、最小权限身份的托管密钥平台。
• 封锁已知的命令与控制基础设施，并实施出站流量控制，以检测或阻止未经授权的数据泄露和隧道传输。
• 监控渗透后的持久性，包括未经授权的systemd服务、代理进程、容器创建和意外的运行时行为。
• 通过限制 Node.js      进程权限、禁用不必要的子进程执行以及强制执行非 root 执行 来强化应用程序和运行时环境。
• 通过持续监控、云 IAM      审计和以凭证盗窃为中心的事件响应手册来加强检测和响应能力。

这些措施共同作用，有助于最大限度地降低风险，并加强现代应用程序堆栈的安全控制。

向基于基础设施的攻击转变

PCPcat 行动凸显了威胁形势的更广泛转变，攻击者越来越注重破坏应用程序基础设施以系统地收集凭证，而不是通过篡改或勒索软件来扰乱运营。

这种方法优先考虑隐蔽性、规模和长期访问权限，使攻击者能够跨多个环境利用窃取的凭证牟利，同时通常不被发现。

一转变凸显了软件供应链安全在网络环境中日益增长的重要性。

新闻链接：

https://www.esecurityplanet.com/threats/59k-servers-hacked-in-48-hours-inside-operation-pcpcat/

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《48小时内5.9万台服务器遭黑客攻击》