Μια νέα καμπάνια κακόβουλου λογισμικού που ονομάζεται PCPcat έχει παραβιάσει με επιτυχία περισσότερους από 59.000 διακομιστές σε λιγότερο από 48 ώρες μέσω στοχευμένης εκμετάλλευσης κρίσιμων τρωτών σημείων στα πλαίσια Next.js και React.
Το κακόβουλο λογισμικό στοχεύει τις αναπτύξεις Next.js εκμεταλλευόμενος δύο κρίσιμα τρωτά σημεία, τα CVE-2025-29927 και CVE-2025-66478, τα οποία επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα χωρίς έλεγχο ταυτότητας.
Η επίθεση χρησιμοποιεί πρωτότυπες τεχνικές ρύπανσης και ένεσης εντολών για την εκτέλεση επιβλαβών εντολών σε ευάλωτους διακομιστές.
Η καμπάνια έδειξε ποσοστό επιτυχίας 64,6%, το οποίο είναι ασυνήθιστα υψηλό για τέτοιες λειτουργίες. Το PCPcat σαρώνει εφαρμογές Next.js που αντιμετωπίζουν το κοινό σε κλίμακα, δοκιμάζοντας 2.000 στόχους σε κάθε παρτίδα και εκτελώντας αυτές τις σαρώσεις κάθε 30 έως 60 λεπτά.
Το κακόβουλο λογισμικό λειτουργεί μέσω ενός διακομιστή εντολών και ελέγχου στη Σιγκαπούρη που ενορχηστρώνει τη λειτουργία σε τρεις κύριες θύρες.
Η θύρα 666 χρησιμεύει ως κέντρο διανομής για επιβλαβή ωφέλιμα φορτία, η θύρα 888 χειρίζεται συνδέσεις αντίστροφης σήραγγας και η θύρα 5656 εκτελεί τον κύριο διακομιστή ελέγχου που εκχωρεί στόχους και συλλέγει κλεμμένα δεδομένα.
Κατά τη διάρκεια της ενεργού παρακολούθησης των honeypots Docker, η εκστρατεία ανακάλυψε την πλήρη υποδομή της επιχείρησης μέσω αναγνώρισης του διακομιστή εντολών και ελέγχου.
Αναλυτές ασφαλείας στο Beelzebub αναγνωρισθείς ότι το κακόβουλο λογισμικό δοκιμάζει πρώτα τους στόχους με μια απλή εντολή για να ελέγξει εάν είναι ευάλωτοι πριν ξεκινήσει την πλήρη αλυσίδα επίθεσης.
Μόλις βρεθεί ένας ευάλωτος διακομιστής, εξάγει αρχεία περιβάλλοντος, διαπιστευτήρια cloud, κλειδιά SSH και αρχεία ιστορικού εντολών.
Οι κλεμμένες πληροφορίες αποστέλλονται πίσω στον διακομιστή ελέγχου μέσω απλών αιτημάτων HTTP που δεν απαιτούν έλεγχο ταυτότητας.
Μετά την κλοπή των διαπιστευτηρίων, το κακόβουλο λογισμικό επιχειρεί να εγκαταστήσει πρόσθετα εργαλεία για μακροπρόθεσμη πρόσβαση. Κατεβάζει ένα σενάριο που ρυθμίζει το λογισμικό διακομιστή μεσολάβησης GOST και τα εργαλεία αντίστροφης διοχέτευσης σήραγγας FRP στον παραβιασμένο διακομιστή.
Αυτά τα εργαλεία δημιουργούν κρυφά κανάλια που επιτρέπουν στους εισβολείς να διατηρήσουν την πρόσβαση ακόμη και μετά την επιδιόρθωση της αρχικής ευπάθειας.
Μηχανισμός Exploit και Εκτέλεση Κώδικα
Η επίθεση λειτουργεί στέλνοντας ένα ειδικά κατασκευασμένο ωφέλιμο φορτίο JSON σε ευάλωτους διακομιστές Next.js.
Αυτό το ωφέλιμο φορτίο χειρίζεται την αλυσίδα πρωτοτύπων JavaScript και εισάγει εντολές στη λειτουργία εκτέλεσης θυγατρικής διαδικασίας.
Το κακόβουλο λογισμικό χρησιμοποιεί την ακόλουθη δομή:
payload = {
"then": "$1:__proto__:then",
"status": "resolved_model",
"_response": {
"_prefix": "var res=process.mainModule.require('child_process')
.execSync('COMMAND_HERE').toString();"
}
}Αυτό το ωφέλιμο φορτίο αναγκάζει τον διακομιστή να εκτελέσει οποιαδήποτε εντολή θέλει ο εισβολέας. Τα αποτελέσματα επιστρέφονται μέσω μιας ειδικά διαμορφωμένης κεφαλίδας ανακατεύθυνσης, επιτρέποντας στο κακόβουλο λογισμικό να εξάγει δεδομένα χωρίς να δημιουργεί άμεση υποψία.
Στη συνέχεια, το κακόβουλο λογισμικό αναζητά συστηματικά πολύτιμα αρχεία όπως διαπιστευτήρια AWS στο φάκελο .aws, αρχεία διαμόρφωσης Docker, διαπιστευτήρια Git και ιστορικό bash που περιέχει εντολές που χρησιμοποιήθηκαν πρόσφατα.
Για να διατηρηθεί η επιμονή, το κακόβουλο λογισμικό δημιουργεί πολλές υπηρεσίες συστήματος που επανεκκινούν αυτόματα εάν διακοπεί ή εάν επανεκκινηθεί ο διακομιστής.
Αυτές οι υπηρεσίες εκτελούν τον διακομιστή μεσολάβησης και τα εργαλεία σάρωσης συνεχώς, διατηρώντας τον παραβιασμένο διακομιστή ενεργό στο botnet. Η εγκατάσταση πραγματοποιείται σε πολλές τοποθεσίες για να διασφαλιστεί ότι τουλάχιστον ένα αντίγραφο επιβιώνει από τις προσπάθειες καθαρισμού ασφαλείας.
Οι διαχειριστές δικτύου μπορούν να εντοπίσουν αυτήν τη δραστηριότητα παρακολουθώντας τις συνδέσεις στη διεύθυνση IP του διακομιστή εντολών 67.217.57.240 στις θύρες 666, 888 και 5656, αναζητώντας υπηρεσίες systemd με ονόματα που περιέχουν pcpcat και ελέγχοντας για ασυνήθιστες εξερχόμενες συνδέσεις που φέρουν δεδομένα JSON που περιέχουν μεταβλητές περιβάλλοντος ή διαπιστευτήρια.
Related Posts
Χάκερ που εκμεταλλεύονται την ευπάθεια του XWiki στη φύση για να προσλάβουν τους διακομιστές για το Botnet
Νέο κακόβουλο λογισμικό μέσω WhatsApp Exfiltrate επαφών για επίθεση στον διακομιστή και ανάπτυξη κακόβουλου λογισμικού
Χάκερ διεισδύουν στο VS Code Marketplace με 19 κακόβουλες επεκτάσεις που παρουσιάζονται ως αρχείο PNG
