FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

一场高度自动化且极其高效的网络间谍活动正在席卷现代Web应用的云基础设施，已导致数万台服务器沦陷。Beelzebub研究团队最新报告披露了名为"PCPcat"的攻击行动，该行动利用流行的Next.js和React框架中的漏洞实现惊人感染率。

闪电式攻击规模惊人

通过Docker蜜罐发现的此次攻击以惊人速度著称。攻击者利用（CVE-2025-29927）和（CVE-2025-66478）漏洞，在不到两天内就攻陷了59,128台服务器。

数据窃取工业级操作

攻击组织在文件中留下"PCP"特征标记，其目标不仅是篡改网站。他们正在实施大规模数据收集行动，恶意软件系统性地搜寻"王国的钥匙"——云凭证、SSH密钥和环境变量（.env文件），以实现更深层的网络渗透。

报告指出："该行动展现出工业级大规模情报操作和数据外泄特征。"

精密攻击链曝光

攻击者采用涉及JSON载荷操纵和原型污染的复杂漏洞利用链实现远程代码执行（RCE）。入侵后，恶意软件使用GOST（SOCKS5代理）和FRP（快速反向代理）安装持久后门，将被攻陷服务器变为僵尸网络节点。

最令研究人员震惊的是攻击效率。与通常成功率低的"广撒网"式攻击不同，PCPcat的命中精度令人胆寒。

关键发现

"通过直接侦察活跃C2服务器，我们确认该行动在48小时内已攻陷59,128台服务器，漏洞利用成功率达64.6%。"

异常高的成功率表明攻击者可能使用精心筛选的目标列表，或该漏洞极为普遍且未修补。

攻击者自身漏洞暴露

讽刺的是，当攻击者利用他人安全漏洞时，其自身基础设施却门户大开。研究人员发现位于新加坡的命令控制（C2）API缺乏基本身份验证。

分析显示："无任何认证/授权机制：任何人都可访问端点。"这一疏忽使研究人员能直接查询C2服务器，暴露整个行动规模。他们发现该行动的"random_ips"模式正在扫描超过91,000个目标，显示其攻击毫无选择性。

紧急应对建议

当前攻击速度令人担忧。该行动每天处理约32批目标，感染数量每小时都在攀升。"按此速度，一个月内可能攻陷超过120万台服务器。"

运行对外Next.js或React应用的组织应立即打补丁，屏蔽已识别的C2 IP（67.217.57.240），并轮换环境文件中可能暴露的所有凭证。

参考来源：

Operation PCPcat: 60,000 Next.js Servers Hijacked in Just 48 Hours

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）