Кампания PCPcat: эксплуатация уязвимостей Next.js и масштабная эксфильтрация

Исследователи обнаружили масштабную операцию злоумышленников под названием PCPcat, нацеленную на приложения Next.js. По имеющимся данным, вредоносная деятельность уже затронула свыше 59 000 серверов; злоумышленники используют автоматизированную цепочку атак, включающую разведку, эксплуатацию уязвимостей, эксфильтрацию конфиденциальных данных и развёртывание устойчивой инфраструктуры командования и контроля (C2).

Краткая суть атаки

Атака реализована как полностью автоматизированный процесс и не требует взаимодействия пользователя. Последовательность действий злоумышленников выглядит так:

• крупномасштабное сканирование публичных доменов Next.js для выявления уязвимых целей;
• автоматическая эксплуатация известных уязвимостей, в том числе CVE-2025-29927 и CVE-2025-66478;
• развёртывание вредоносного модуля react.py и поиск чувствительных данных (файлы .env, SSH-ключи, секреты AWS и Docker и др.);
• эксфильтрация данных через HTTP POST в инфраструктуру C2;
• укрепление присутствия с помощью постоянных соединений, systemd-сервисов и механизма туннелирования.

«Первоначально атака начинается с крупномасштабного сканирования публичных Next.js доменов, позволяющего противникам выявлять цели, пригодные для использования.»

Технические характеристики и инфраструктура C2

Инфраструктура, используемая злоумышленниками, организована по ролям и включает:

• сервер распространения (distribution) — для загрузки полезной нагрузки;
• сервер обратного туннелирования — для закрепления и обхода ограничений на соединения;
• основной API-сервер — для назначения задач и сбора данных.

Особенности настройки C2 и поведения вредоносного ПО:

• использование нестандартных портов (в том числе 5656 и 888);
• применение методов туннелирования FRP для поддержания постоянного соединения и уклонения от обнаружения;
• создание пяти systemd-сервисов для обеспечения закрепления, которые перезапускаются с постепенными задержками;
• маскировка: рандомизированные имена клиентов и поддельные строки User‑Agent, смешанные с легитимными системными данными;
• эндпоинты C2 часто лишены аутентификации и валидной проверки вводимых данных, что упрощает перехват и дальнейшее использование украденной информации.

Уязвимости и эффективность атаки

Для доступа злоумышленники эксплуатируют известные уязвимости в экосистеме Next.js, в том числе указанные выше CVE. Эксплуатация не требует участия пользователя, что делает атаку особенно опасной для публичных приложений.

Вредоносное ПО систематично ищет конфиденциальные артефакты (файлы .env, SSH-ключи, секреты AWS и Docker), а затем отправляет найденные данные на C2. По оценкам, успешность эксфильтрации составляет примерно 64,6%.

Масштаб и скорость распространения

Акторы продемонстрировали высокую способность к масштабированию: было выявлено и скомпрометировано более 91 000 целей всего за один день. Такой темп указывает на полностью автоматизированные инструменты и агрессивные сканирующие кампании.

Рекомендации по защите и реагированию

Организациям и владельцам сервисов на базе Next.js рекомендуется принять следующие меры незамедлительно:

• обновить Next.js и все сопутствующие зависимости до последних версий, в которых устранены упомянутые CVE;
• провести аудит и ротацию всех секретов: файлы .env, SSH-ключи, учетные данные AWS и Docker-секреты;
• проверить наличие неавторизованных systemd-сервисов и удалить подозрительные единицы, проанализировать их юнит-файлы и исполняемые бинарники;
• обнаружить и удалить подозрительные файлы, включая react.py и прочие скрипты, загруженные на сервер;
• ограничить исходящий трафик и контролировать соединения на нестандартные порты (5656, 888 и др.), а также на внешние домены; внедрить фильтрацию и блокировку подозрительных адресов;
• внедрить IDS/IPS-правила для обнаружения массового сканирования и массовых HTTP POST-запросов с подозрительной нагрузкой;
• использовать WAF и защиту веб-приложений для блокировки известных эксплойтов и аномалий в запросах;
• провести ревизию контейнеров и образов Docker на предмет внедрённых бэкдоров и неавторизованных секретов;
• внедрить мониторинг целостности файлов и политик доступа, а также практики минимизации прав для рабочих процессов CI/CD.

Индикаторы компрометации (IOCs) — на что обращать внимание

• неизвестные или рандомизированные имена клиентских процессов;
• файлы с именем react.py или похожие Python-скрипты в корневых директориях веб-приложений;
• внезапная активность чтения или отправки содержимого файлов .env;
• создание или перезапуск системных юнитов systemd (особенно пять однотипных сервисов);
• исходящие HTTP POST к неизвестным внешним эндпоинтам, особенно на нестандартные порты (5656, 888 и т.п.);
• использование туннелей FRP или обратных соединений к внешним серверам.

Вывод

Кампания PCPcat — яркий пример того, как уязвимости в популярных веб-фреймворках могут быть быстро использованы для массовых компрометаций и автоматизированной эксфильтрации данных. Своевременное обновление компонентов, жесткая политика управления секретами и мониторинг аномалий в сети — ключевые меры, позволяющие снизить риск успешной атаки. Владельцам Next.js-приложений и администраторам инфраструктуры стоит немедленно проверить свои окружения и выполнить рекомендуемые контрмеры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Кампания PCPcat: эксплуатация уязвимостей Next.js и масштабная эксфильтрация".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.