「Operation PCPcat」と名付けられた高度な認証情報窃取キャンペーンにより、世界中で59,000台を超えるNext.jsサーバーが侵害されました。攻撃者は人気のReactフレームワークに存在する重大な脆弱性を悪用し、産業規模で機微な認証データを収集しています。
セキュリティ研究者はハニーポット監視を通じてこのキャンペーンを発見し、攻撃者のコマンド&コントロール(C2)インフラに直接アクセスすることで、憂慮すべき運用指標を明らかにしました。
このキャンペーンは64.6%の悪用成功率を維持しており、侵害が確認されたサーバーは59,128台、盗まれた認証情報セットは約30万〜59万に上ります。
脅威アクターは、Next.jsのデプロイ環境でリモートコード実行を達成するために、2つの重大な脆弱性CVE-2025-29927およびCVE-2025-66478を悪用しています。
攻撃チェーンは、公開されているNext.jsドメインの大量スキャンから始まり、その後、JSONペイロードの操作によって悪意あるコマンドを注入するプロトタイプ汚染攻撃へと進みます。
標的システムに侵入すると、マルウェアは体系的なデータ抽出ルーチンを実行し、.envファイル、SSH秘密鍵、クラウド認証情報、システム環境変数を優先して収集します。
このキャンペーンのC2インフラはシンガポールの67.217.57.240でホストされており、スキャン対象の割り当て、流出データの受領、運用統計の提供を行う4つの主要APIエンドポイントを通じて動作します。
特筆すべき点として、C2サーバーは認証不要のGET/statsエンドポイントを通じてキャンペーンの完全な指標を公開しており、攻撃者が無差別に91,505個のIPアドレスをスキャンしていることが明らかになっています。
永続化のため、マルウェアはGOSTプロキシソフトウェアとFast Reverse Proxy(FRP)コンポーネントをインストールし、再起動後も生き残るsystemdサービスを作成します。
この攻撃インフラにより継続的なスキャンが可能となっており、侵害された各マシンは45分ごとにC2サーバーへ問い合わせて2,000件の新規ターゲットを取得し、1日あたり最大41,000台の追加サーバーを侵害する可能性があります。
このキャンペーンは大規模なインテリジェンス作戦の特徴を示しており、攻撃者はNext.jsの内部構造とクラウドインフラに対する高度な理解を有しています。
Beelzebubによると、このマルウェアはAWS認証情報、Docker設定、GitHubトークン、ならびに開発環境に一般的に保存されるその他のクラウドネイティブな認証メカニズムを特に標的にしています。
Next.jsを使用している組織は、直ちにデプロイ環境に不正アクセスがないか監査し、.envファイルの内容を確認し、露出したすべての認証情報をローテーションし、ネットワークセグメンテーションを実装すべきです。
セキュリティチームは、プロトタイプ汚染の試行を監視するSuricataルール、「pcpcat」マルウェアを特定するYARAシグネチャ、ならびにchild_processの実行パターンに関する振る舞い分析によって侵害を検知できます。
公開されているC2指標は、攻撃者が防御側にインフラを把握されたことに気づいていない可能性を示唆しており、脅威アクターが戦術を適応させる前に能動的な防御を行える短い猶予期間を提供しています。
侵害指標(IoCs)
C2インフラ
67.217.57.240:666 - 配布サーバー(ペイロードのホスティング)
67.217.57.240:888 - FRP C2(リバーストンネリング)
67.217.57.240:5656 - メインC2 API(タスク割り当て、データ流出)APIエンドポイント
http://67.217.57.240:5656/domains - ターゲット割り当て(2000個のIPを取得)
http://67.217.57.240:5656/result - データ流出(認証情報のPOSTを受け付け)
http://67.217.57.240:5656/health - ヘルスチェック
http://67.217.57.240:5656/stats - 運用指標(キャンペーンデータを露出)
http://67.217.57.240:666/files/proxy.sh - 永続化インストーラー
http://67.217.57.240:666/files/react.py - スキャナー/エクスプロイトモジュール翻訳元: https://gbhackers.com/operation-pcpcat-exploits-next-js-and-react/
