TokyoBlackHatNews

esecurityplanet.com 5分で読了

48時間で59K台のサーバーが侵害:Operation PCPcatの内幕

研究者らは、48時間未満でインターネットに公開されたNext.jsサーバー59,000台超を侵害したキャンペーンを発見し、自動化された認証情報窃取が危険な段階へとエスカレートしていることを示しました。

Operation PCPcatと名付けられたこのキャンペーンは、人気のReactベースのWebインフラに存在する重大な脆弱性を武器化し、クラウド認証情報を大規模に収集します。 

「これが産業化されたエクスプロイトの姿だ」と、セキュリティ研究者のMario Candelaは分析の中で書いています

数時間で59K台のサーバーが侵害

Candelaの調査によると、PCPcatは約33時間で公開されているNext.jsのデプロイメント91,000件超をスキャンし、そのうち59,128件の侵害に成功しました。成功率は64.6%です。 

攻撃者は、CVE-2025-29927およびCVE-2025-66478として追跡されている2つの重大な脆弱性を悪用しました。いずれも未パッチのままだとリモートコード実行(RCE)を可能にします。 

影響を受ける環境には、本番Webサーバー、開発システム、そしてAWS、Azure、Google Cloud各プラットフォーム上でホストされるクラウドアプリケーションが含まれます。

侵害後、システムは認証情報収集ノードとして利用され、環境ファイル、SSH設定、クラウドプロバイダーの認証情報ストア、Dockerトークン、Gitリポジトリ、シェル履歴から秘密情報が引き出されました。 

この手法は、単なる妨害ではなく、長期的なアクセス、クラウド内での横展開、認証情報の転売に重点が置かれていることを示唆します。

PCPcatのエクスプロイト連鎖の内部

PCPcatは、Pythonベースのマルウェアコンポーネントreact.pyに依存しており、プロトタイプ汚染の欠陥に結び付く悪用可能な条件がないか、公開されたNext.jsサーバーを探索します。 

攻撃者は細工したJSONペイロードを注入することでアプリケーションオブジェクトを操作し、Node.jsの子プロセス機能を通じてシステムレベルのコマンドを実行します。 

悪用の成功は、まず単純なidコマンドで検証され、その後に本格的な認証情報収集へ移行します。

データ抽出後、侵害されたホストは攻撃者インフラから二次ペイロードをダウンロードし、複数の永続化メカニズムをインストールします。 

これには、GOSTを用いたSOCKS5プロキシサービス、外部からのアクセスを可能にするFRPリバーストンネル、そして再起動後もマルウェアが生き残ることを保証するsystemdサービスが含まれます。 

ハニーポットのテレメトリからは、公開されたDocker APIの悪用も明らかになり、可能な場合にはコンテナベースの永続化を確立していました。

PCPcatにおけるオペレーショナルセキュリティ上のミス

PCPcatの最も憂慮すべき点の1つは、攻撃者のオペレーショナルセキュリティの失敗です。このキャンペーンの主要なC2(コマンド&コントロール)サーバーは、認証不要のAPIを公開しており、運用メトリクスが公に漏えいしていました。 

研究者らは/statsエンドポイントを通じて、スキャン対象数、侵害成功数、タスク割り当ての挙動をリアルタイムで確認しました。 

追加のエンドポイントは、ターゲット配布、データ流出、ヘルスチェックを処理しており、実質的に攻撃のライブダッシュボードを提供していました。

この可視性により、研究者らはキャンペーンの規模だけでなく、自動化、バッチ処理の挙動、継続中の活動も確認できました。

クラウドベースのアプリケーション環境の強化

Next.jsおよびReactアプリケーションを運用する組織は、特にクラウドおよびコンテナ化環境において、公開されたサービスや認証情報を潜在的なリスクとして扱うべきです。 

効果的なリスク低減には、アプリケーション層とインフラ層にまたがる、連携したパッチ適用、認証情報管理、実行時の強化、継続的な監視が必要です。

  • CVE-2025-29927およびCVE-2025-66478に対するパッチを直ちに適用し、Next.jsおよびReactアプリケーションの公開範囲を必要なサービスのみに制限する。
  • 露出した可能性のある認証情報をすべてローテーションし、.envファイルから管理型シークレット基盤へ移行する(短命で最小権限のIDを使用)。
  • 既知のC2インフラをブロックし、不正な流出やトンネリングを検知・防止するための送信トラフィック制御を実装する。
  • 侵害後の永続化を監視する(不正なsystemdサービス、プロキシプロセス、コンテナ作成、予期しない実行時挙動など)。
  • アプリケーションおよび実行時環境を強化する(Node.jsプロセス権限の制限、不要な子プロセス実行の無効化、非root実行の徹底)。
  • 継続的な監視、クラウドIAM監査、認証情報窃取に焦点を当てたインシデント対応プレイブックにより、検知・対応能力を強化する。

これらの対策を組み合わせることで、リスクを最小化し、最新のアプリケーションスタック全体にわたるセキュリティ統制を強化できます。 

インフラ基盤型攻撃へのシフト

Operation PCPcatは、脅威環境におけるより大きな変化を浮き彫りにしています。攻撃者は、改ざんやランサムウェアによって業務を妨害するのではなく、アプリケーションインフラを侵害して認証情報を体系的に収集することに、ますます注力しています。 

このアプローチは、秘匿性、規模、長期的アクセスを優先し、攻撃者がしばしば検知されないまま、複数環境にわたって盗んだ認証情報を収益化できるようにします。  

この変化は、現代の環境におけるソフトウェアサプライチェーンセキュリティの重要性が高まっていることを示しています。 

翻訳元: https://www.esecurityplanet.com/threats/59k-servers-hacked-in-48-hours-inside-operation-pcpcat/

ソース: esecurityplanet.com
#CVE-2025-29927 #CVE-2025-66478 #Next.js #Operation PCPcat #React #クラウドセキュリティ(AWS・Azure・GCP) #ソフトウェアサプライチェーンセキュリティ #リモートコード実行(RCE) #永続化(systemd・SOCKS5・リバーストンネル) #認証情報窃取

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布