news 2026/7/7 21:34:16

新型PCPcat恶意软件利用React2Shell漏洞48小时内入侵超5.9万台服务器

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
新型PCPcat恶意软件利用React2Shell漏洞48小时内入侵超5.9万台服务器

攻击概况

新型恶意软件PCPcat通过针对性利用Next.js和React框架中的关键漏洞,在48小时内成功入侵了超过5.9万台服务器。该恶意软件利用两个关键漏洞(CVE-2025-29927和CVE-2025-66478)攻击Next.js部署环境,这些漏洞允许未经身份验证的远程代码执行。

攻击技术分析

攻击采用原型污染和命令注入技术,在易受攻击的服务器上执行恶意命令。该活动显示出64.6%的成功率,对于此类操作而言异常之高。PCPcat大规模扫描面向公众的Next.js应用,每批测试2000个目标,每30至60分钟运行一次扫描。

恶意软件通过位于新加坡的命令与控制服务器运作,主要使用三个端口:

  • 端口666:作为恶意负载分发中心
  • 端口888:处理反向隧道连接
  • 端口5656:运行主控服务器,负责分配目标并收集窃取的数据

攻击流程

安全分析师通过Docker蜜罐监控发现,恶意软件首先使用简单命令测试目标是否易受攻击,确认后才会发起完整攻击链。一旦发现易受攻击的服务器,就会提取环境文件、云凭证、SSH密钥和命令历史文件。窃取的信息通过无需身份验证的简单HTTP请求发送回控制服务器。

获取凭证后,恶意软件会尝试安装额外工具以维持长期访问权限,包括下载脚本在受感染服务器上设置GOST代理软件和FRP反向隧道工具,这些工具创建隐藏通道,使攻击者即使在初始漏洞修复后仍能保持访问。

漏洞利用机制

攻击通过向易受攻击的Next.js服务器发送特制JSON负载实现,该负载操纵JavaScript原型链并将命令注入子进程执行函数。恶意负载结构如下:

payload = { "then": "q:__proto__:then", "status": "resolved_model", "_response": { "_prefix": "var res=process.mainModule.require('child_process') .execSync('COMMAND_HERE').toString();" } }

该负载强制服务器运行攻击者指定的任何命令,结果通过特殊格式的重定向头返回,使恶意软件能够在不立即引起怀疑的情况下提取数据。

持久化与检测

为保持持久性,恶意软件创建多个系统服务,这些服务在停止或服务器重启时会自动重启,持续运行代理和扫描工具,确保受感染服务器保持在僵尸网络中。安装过程发生在多个位置,以确保至少一个副本能在安全清理工作中存活。

网络管理员可通过以下方式检测此活动:

  • 监控与命令服务器IP地址67.217.57.240在端口666、888和5656上的连接
  • 查找名称包含pcpcat的systemd服务
  • 检查携带包含环境变量或凭证的JSON数据的异常出站连接
版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/7 3:05:39

Seed-Coder-8B-Base:本地化代码补全实战

Seed-Coder-8B-Base:本地化代码补全实战 在现代软件开发中,我们常常陷入一种矛盾:一边渴望写出优雅、健壮的系统架构,一边却被大量重复性的模板代码和低级语法错误拖慢节奏。翻文档、查 Stack Overflow、调试拼写失误——这些本不…

作者头像 李华
网站建设 2026/7/7 6:22:34

DBeaver插件终极指南:如何精选并高效集成第三方扩展?

DBeaver插件终极指南:如何精选并高效集成第三方扩展? 【免费下载链接】dbeaver 项目地址: https://gitcode.com/gh_mirrors/dbe/dbeaver 作为一款免费开源的数据库管理工具,DBeaver通过其强大的插件生态系统,让用户能够根…

作者头像 李华
网站建设 2026/7/7 8:19:26

安全不是一个功能-而是一个地基

GitHub 主页 关于Hyperlane框架 Hyperlane 是一个轻量级、高性能、跨平台的 Rust HTTP 服务器框架,构建于 Tokio 异步运行时之上。 核心特性 性能表现:Keep-Alive开启324,323 QPS,关闭51,031 QPS | 统一API:HTTP、WebSocket、…

作者头像 李华
网站建设 2026/7/7 17:42:11

Spring Boot 应用启动优化:自定义事件监听与优雅启动管理

在企业级应用开发中,应用的启动过程往往需要进行精细化的控制和监控。Spring Boot 虽然提供了简化的启动方式,但在实际生产环境中,我们通常需要更多的启动信息、更好的错误处理和更优雅的启动管理。本文将详细介绍如何通过自定义事件监听器来…

作者头像 李华
网站建设 2026/7/7 15:36:28

拼多多后台发布商品的操作流程

拼多多后台发布商品的操作流程,接下来一步一步详细的说一下:第一步:先打开拼多多后台,点“发布新商品”如下图所示第二步:选择好要手工发布的商品的分类,如下图所示:第三步:填充好商…

作者头像 李华