「Operation PCPcat」と呼ばれる大規模なサイバー諜報キャンペーンにより、わずか2日間で59,000台以上のサーバーが侵害されました。
攻撃者はNext.jsおよびReactフレームワークの脆弱性を悪用し、大規模に機密データを窃取しています。
セキュリティ研究者は、ハニーポットを監視し、攻撃をシンガポールでホストされているコマンド&コントロール(C2)サーバーまで追跡した後、このキャンペーンを発見しました。
この作戦は驚異的な64.6%の成功率を達成しており、300,000〜590,000組の認証情報を盗み出しています。
攻撃者は2つのセキュリティ脆弱性(CVE-2025-29927およびCVE-2025-66478)を悪用しています。これらの脆弱性により、ハッカーはNext.jsのデプロイ環境でリモートコード実行(RCE)を行えます。
攻撃は、脆弱なサーバーを探して公開ドメインをスキャンすることから始まります。標的が特定されると、攻撃者は「プロトタイプ汚染(prototype pollution)」として知られる手法を使用します。
これは、JSONデータを介して悪意のあるコマンドを注入し、サーバーをだまして不正なコードを実行させるものです。
侵入後、マルウェアは直ちに価値の高い情報を探索します。.envファイル、SSH秘密鍵、クラウド認証情報、システム環境変数を標的にします。
これらのデータにより、攻撃者はAWSやDocker環境など、企業ネットワークやクラウド基盤の他の部分へアクセスできる可能性があります。
この作戦は高度に組織化されています。攻撃者は、感染したマシンを管理するために、67.217.57.240にある中央C2サーバーを使用しています。
このサーバーは新たな標的を割り当て、盗まれたデータを収集します。興味深いことに、ハッカーは自分たちの統計ページを公開したままにしており、研究者は作戦規模を正確に把握できました。
侵害されたサーバーへのアクセスを維持するため、マルウェアはプロキシソフトウェア(GOSTおよびFast Reverse Proxy)をインストールします。
これらのプログラムは「systemd」サービスを作成するため、サーバーが再起動されてもマルウェアは自動的に再起動します。
感染した各マシンは、45分ごとにC2サーバーへ2,000件の新しい標的を要求するようプログラムされており、自己持続的な攻撃サイクルを生み出しています。
Next.jsを使用している組織は、自分たちが標的になっていると想定すべきです。セキュリティチームは、不正アクセスがないか、直ちにデプロイ環境を監査しなければなりません。
主な手順には、.envファイルの変更有無の確認、露出した可能性のある認証情報のローテーション、許可されていないネットワーク接続のチェックが含まれます。
防御側は、特定のC2 IPアドレスへの通信を監視するか、YARAシグネチャを使用して「pcpcat」マルウェアファイルを特定することで、このマルウェアを検知できます。
攻撃者の指標が公開されているため、彼らは近いうちに戦術を変更する可能性があり、脅威が進化する前に企業がシステムを保護できる猶予は限られています。
翻訳元: https://cyberpress.org/operation-pcpcat-compromises-next-js-and-react/