TokyoBlackHatNews

cyberwarriorsmiddleeast.com 5分で読了

59,000台のサーバーが侵害:Operation PCPcatがReactとNext.jsを世界規模で攻撃

Operation PCPcat:Reactフレームワークに対する新たな脅威

サイバー攻撃の概要

Operation PCPcatと名付けられた最近の大規模サイバー諜報作戦は、インターネット基盤に深刻な影響を与え、わずか48時間59,000台以上のサーバーを侵害しました。このキャンペーンは、Reactフレームワークで構築されたシステムを特に標的としており、Next.jsReact Serversといった一般的なデプロイメントも含まれます。憂慮すべきことに、この作戦はすでに数十万件に及ぶユーザー認証情報の不正収集につながっています。

発見と調査

セキュリティ専門家は、複数のハニーポット環境における異常な活動を分析する中で、この問題のある作戦を偶然発見しました。状況をさらに掘り下げた結果、シンガポールに拠点を置く中央のコマンド&コントロール(C2)サーバーに接続された、高度に自動化された攻撃構造が明らかになりました。興味深いことに、攻撃者は未報告および最近公開された脆弱性を悪用し、驚くべき規模でリモートコード実行(RCE)を実装しているようです。

攻撃統計

収集されたデータによると、Operation PCPcatは世界中で91,505件のIPアドレスを積極的にスキャンし、59,128台のサーバーを侵害することで驚異的な64.6%の成功率を達成しました。この作戦は1日あたり約41,000台のサーバー侵害でピークに達し、Reactベースのデプロイメントに対する攻撃としては記録上最も迅速なものの一つとなっています。

攻撃で使用された脆弱性

PCPcatの背後にいる攻撃者は、CVE-2025-29927およびCVE-2025-66478として特定される2つの重大な脆弱性を悪用しています。これらの欠陥は主にNext.jsのデプロイメントに影響し、任意のコード実行を可能にします。

攻撃は、脆弱なReactフレームワークを実行している公開ドメインの大規模スキャンから始まります。標的サーバーが特定されると、攻撃者はJavaScriptにおける既知の脆弱性クラスであるプロトタイプ汚染と呼ばれる手法を用います。細工したJSON入力を通じて悪意あるデータを注入し、JavaScriptオブジェクトのプロトタイプを操作することで、サーバーを騙して不正なコマンドを実行させます。この方法により、標準的な認証プロセスを回避し、有効なユーザー認証情報を必要とせずに、影響を受けたReact Serversへ完全にアクセスできるようになります。

認証情報窃取の仕組み

アクセスが許可されると、Operation PCPcatに関連するマルウェアは認証情報窃取の効率的なツールとして機能し、システム上に保存された機密情報を直ちに探索します。データ取得の主な標的は次のとおりです:

  • .env設定ファイル
  • SSH秘密鍵
  • クラウドサービスの認証情報
  • システム環境変数

盗み出されたデータは攻撃者に長期的なアクセスを提供し、AWSアカウントDocker環境内部ネットワークなど、より広範なインフラ要素への侵入につながる可能性があります。研究者は、この作戦がすでに300,000〜590,000組の認証情報セットを流出させたと推定しており、後続の攻撃リスクを高めています。

集中型コマンド&コントロール構造

侵害されたサーバーは、シンガポールの67.217.57.240でホストされる中央C2システムを通じて動作します。このサーバーは、新たなスキャン対象の割り当てや、感染マシンから盗まれたデータの集約によって、作戦全体を指揮します。重要な点として、攻撃者は内部統計ダッシュボードをアクセス可能な状態で残しており、研究者は作戦の規模を観測し、PCPcatが脆弱なReact Serversへどれほど急速に拡散するかを確認できました。

長期的なアクセスの維持

侵害したシステムへの長期的なアクセスを確保するため、マルウェアは感染サーバーにGOSTFast Reverse Proxyといったプロキシツールをインストールします。これらのツールはsystemdサービスとして設定され、サーバー再起動時にマルウェアが自動的に再起動することを保証します。さらに、侵害された各マシンはC2サーバーから45分ごとに2,000件の新しい標的IPアドレスを要求するようプログラムされています。この設計により自己持続的な感染ループが形成され、攻撃者の直接介入なしにOperation PCPcatが迅速に拡散できるようになります。

防御上の推奨事項

Operation PCPcatへの対応として、ReactフレームワークおよびReact Serversを利用する組織は、露出の可能性を前提に緊急対応を取るよう求められています。主な対策には、.envファイルの監査、認証情報のローテーション、疑わしい活動のログ調査、既知のC2インフラへの送信トラフィックの監視、そしてPCPcatの認証情報窃取ツールを検出するためのYARAシグネチャの活用が含まれます。

このキャンペーンは、今日のJavaScriptエコシステムに対して増大するリスクを浮き彫りにしています。ReactNext.jsの広範な採用に加え、設定ミスや未パッチの脆弱性が存在すると、大規模な侵害への扉が開かれ、クラウド環境と企業環境の双方に持続的な影響を及ぼしかねません。

防御を強化したいセキュリティチームにとっては、警戒を怠らず、攻撃者の進化する戦術に迅速に適応し、高度な脅威インテリジェンスソリューションを活用して検知・対応能力を高めることが重要です。

翻訳元: https://cyberwarriorsmiddleeast.com/59000-servers-compromised-operation-pcpcat-strikes-react-and-next-js-globally/

ソース: cyberwarriorsmiddleeast.com
#C2(コマンド&コントロール) #CVE-2025-29927 #CVE-2025-66478 #Next.js #Operation PCPcat #React #サイバー攻撃 #プロトタイプ汚染 #リモートコード実行(RCE) #認証情報窃取

関連記事

Fortinet管理者による「修正済み」FortiOS 7.4.9ファームウェアでの活発な悪用報告

増大する脅威:デュアルチャネル攻撃が2026年のビジネスメール詐欺に革命をもたらす

サイバー攻撃でイタリア最大の大学ラ・サピエンツァが停止