PCPcat行动：48小时内6万台Next.js服务器遭劫持

一场高度自动化且极其高效的网络间谍活动正在席卷现代Web应用的云基础设施，已导致数万台服务器沦陷。Beelzebub研究团队最新报告披露了名为"PCPcat"的攻击行动，该行动利用流行的Next.js和React框架中的漏洞实现惊人感染率。

闪电式攻击规模惊人

通过Docker蜜罐发现的此次攻击以惊人速度著称。攻击者利用（CVE-2025-29927）和（CVE-2025-66478）漏洞，在不到两天内就攻陷了59,128台服务器。

数据窃取工业级操作

攻击组织在文件中留下"PCP"特征标记，其目标不仅是篡改网站。他们正在实施大规模数据收集行动，恶意软件系统性地搜寻"王国的钥匙"——云凭证、SSH密钥和环境变量（.env文件），以实现更深层的网络渗透。

报告指出："该行动展现出工业级大规模情报操作和数据外泄特征。"

精密攻击链曝光

攻击者采用涉及JSON载荷操纵和原型污染的复杂漏洞利用链实现远程代码执行（RCE）。入侵后，恶意软件使用GOST（SOCKS5代理）和FRP（快速反向代理）安装持久后门，将被攻陷服务器变为僵尸网络节点。

最令研究人员震惊的是攻击效率。与通常成功率低的"广撒网"式攻击不同，PCPcat的命中精度令人胆寒。

关键发现

"通过直接侦察活跃C2服务器，我们确认该行动在48小时内已攻陷59,128台服务器，漏洞利用成功率达64.6%。"

异常高的成功率表明攻击者可能使用精心筛选的目标列表，或该漏洞极为普遍且未修补。

攻击者自身漏洞暴露

讽刺的是，当攻击者利用他人安全漏洞时，其自身基础设施却门户大开。研究人员发现位于新加坡的命令控制（C2）API缺乏基本身份验证。

分析显示："无任何认证/授权机制：任何人都可访问端点。"这一疏忽使研究人员能直接查询C2服务器，暴露整个行动规模。他们发现该行动的"random_ips"模式正在扫描超过91,000个目标，显示其攻击毫无选择性。

紧急应对建议

当前攻击速度令人担忧。该行动每天处理约32批目标，感染数量每小时都在攀升。"按此速度，一个月内可能攻陷超过120万台服务器。"

运行对外Next.js或React应用的组织应立即打补丁，屏蔽已识别的C2 IP（67.217.57.240），并轮换环境文件中可能暴露的所有凭证。