“PCP” olarak tanımlanan bir gruba atfedilen karmaşık bir saldırı kampanyası, kritik Next.js güvenlik açıklarından yararlanarak 48 saatten kısa bir süre içinde 59.128 sunucunun güvenliğini ihlal etti.
Güvenlik araştırmacıları, Docker balküpünü izlerken büyük ölçekli operasyonu keşfettiler ve küresel olarak React tabanlı uygulamaları hedef alan komut ve kontrol yeteneklerine sahip endüstriyel bir saldırı altyapısını ortaya çıkardılar.
Kampanya, Next.js ve React çerçevelerindeki iki kritik Uzaktan Kod Yürütme güvenlik açığı olan CVE-2025-29927 ve CVE-2025-66478’den yararlanarak %64,6’lık endişe verici bir yararlanma başarı oranı elde ediyor.
Aktif komuta ve kontrol (C2) sunucusunun doğrudan keşfi, PCPcat’in halihazırda 91.505 IP adresini taradığını ve onaylanan güvenlik ihlallerinin yaklaşık 60.000 sisteme ulaştığını ortaya çıkardı.
Saldırganların şu anda toplu iş başına 2.000 IP işlediğini gösteren C2 API uç noktası/istatistiklerinin açığa çıkan operasyonel ölçümlerinin analizi ve kampanya mevcut hızını korursa günde yaklaşık 41.000 ek sunucu güvenliğinin ihlal edildiğini öne süren tahminler.
Saldırı, endüstriyel ölçekte veri sızmasıyla birlikte büyük ölçekli istihbarat operasyonlarının özelliklerini gösteriyor.
Araştırmacılar, halihazırda 300.000 ila 590.000 arasında kimlik bilgisi setinin çalındığını ve günlük toplamanın mevcut kullanım oranlarıyla potansiyel olarak 307.500 ek kimlik bilgilerine ulaşabileceğini tahmin ediyor.
React2Shell Güvenlik Açığı
PCPcat kötü amaçlı yazılımı, halka açık Next.js alanlarının büyük çapta keşfedilmesi yoluyla saldırılar başlatır ve gelişmiş JSON veri yükü manipülasyonu ile prototip kirlilik tekniklerini kullanır.
Yararlanma zinciri, komutları child_process.execSync() işlevleri aracılığıyla yürütür ve sonuçlar, HTTP başlık yönlendirmeleri aracılığıyla sızdırılır.
İlk güvenlik açığı doğrulaması, sistematik kimlik bilgisi çıkarmaya geçmeden önce Uzaktan Kod Yürütmeyi onaylayan basit komut yürütme testleri aracılığıyla gerçekleştirilir.
Kötü amaçlı yazılım, başarılı bir şekilde yararlanıldığında, ortam değişkeni veritabanları (.env dosyaları), SSH özel anahtarları, AWS kimlik bilgileri, Docker yapılandırma dosyaları, Git kimlik bilgileri ve sistem kimlik doğrulama dosyaları dahil olmak üzere son derece hassas dosyaların çıkarılmasına öncelik verir.
Araştırmacılar, kötü amaçlı yazılımın ~/.bash_history sorgusunu kullanarak en son komut dizilerini yakaladığını ve saldırganların ele geçirilen ortamlardaki ek saldırı vektörlerini belirlemesine olanak tanıdığını gözlemledi.
Kampanya, localhost:1080 üzerinde konuşlandırılan bir SOCKS5 proxy’si olan GOST v2.12.0’ın ve C2 altyapısına giden tüneller oluşturan FRP (Hızlı Ters Proxy) v0.52.3’ün kurulumu yoluyla kalıcılık sağlar.
Bu araçlar, sistemin yeniden başlatılmasından sonra hayatta kalabilen otomatik yeniden başlatma yetenekleriyle sistemd hizmeti oluşturma yoluyla ağın dönmesini ve uzun vadeli erişim kalıcılığını sağlar.
C2 altyapısı Singapur merkezli bir sunucudan (67.217.57.240) üç ana bağlantı noktasında çalışır.
Bağlantı noktası 666, kötü amaçlı yükleri dağıtan dağıtım sunucusu olarak işlev görür, bağlantı noktası 888, FRP ters tünel altyapısını barındırır ve bağlantı noktası 5656, API komut merkezi olarak hizmet verir.
Kritik olarak, C2 API, kimlik doğrulama veya yetkilendirme mekanizmaları olmadan çalışarak operasyonel uç noktalara sınırsız erişime izin verir.
Kritik C2 Güvenlik AçığıBenes
Açığa çıkan C2 API’sinin analizi, birden fazla güvenlik açığını ortaya çıkardı. /domains uç noktası, istemci doğrulaması olmadan istek başına 2.000 hedef IP adresi döndürür.
/result uç noktası, kimlik bilgisi verilerini giriş temizliği olmadan kabul eder ve test sırasında sahte AWS kimlik bilgilerini, GitHub belirteçlerini ve SSH anahtarlarını başarıyla alır.
En önemlisi, /stats uç noktası, taranan toplam hedefler, başarılı yararlanmalar, kimlik bilgisi toplama sayıları ve operasyonel toplu bilgiler de dahil olmak üzere tüm kampanya ölçümlerini kamuya açık bir şekilde ortaya çıkarır.
Next.js veya React uygulamalarını çalıştıran kuruluşlar, CVE-2025-29927 ve CVE-2025-66478’e yönelik yamalı sürümleri derhal uygulamalıdır.
Güvenlik ekipleri, yetkisiz erişim göstergelerine karşı ortam değişkenlerini, SSH anahtarlarını ve kimlik bilgisi depolarını denetlemelidir.
Ağ izleme, güvenliği ihlal edilmiş sistemlerde GOST ve FRP süreç tanımlamasının yanı sıra 666, 888 ve 5656 bağlantı noktalarında 67.217.57.240’a giden bağlantıların tespitine öncelik vermelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.