PCPcat adı verilen devasa bir kimlik bilgisi hırsızlığı kampanyası, 48 saatten kısa bir sürede 59.128 Next.js sunucusunun güvenliğini ihlal etti. Operasyon, CVE-2025-29927 ve CVE-2025-66478 kritik güvenlik açıklarından yararlanarak 91.505 taranan hedefte %64,6 başarı oranına ulaştı.
Reaksiyon.py kötü amaçlı yazılımı aracılığıyla dağıtılan PCPCat tarayıcıları, uzaktan kod yürütme kusurları için halka açık Next.js dağıtımlarını araştırıyor. Saldırganlar, child_process.execSync() aracılığıyla komutları enjekte etmek için JSON veri yüklerindeki prototip kirliliğini kullanır ve .env dosyalarından, SSH anahtarlarından, AWS yapılandırmalarından, Docker belirteçlerinden, Git kimlik bilgilerinden ve bash geçmişinden kimlik bilgilerini çıkarmadan önce RCE’yi bir ‘id’ testiyle onaylar.
Mario Candela’nın analizine göre,Güvenliği ihlal edilmiş ana bilgisayarlar daha sonra 67.217.57.240:666 adresinden proxy.sh’yi indirir, GOST SOCKS5 proxy’yi, FRP ters tünellerini ve pcpcat-gost.service gibi kalıcı sistem hizmetlerini yükler.
C2 Altyapısı Açıkta
67.217.57.240:5656 adresindeki komuta ve kontrol sunucusu, kimliği doğrulanmamış bir API çalıştırıyor ve GET /stats aracılığıyla istatistikleri kamuya sızdırıyor: 91.505 IP tarandı, 59.128 başarı, toplu iş boyutu 2.000 rastgele IP.
Düğümler hedefleri GET /domains?client= aracılığıyla getirir
| Uç nokta | Amaç | Durum |
|---|---|---|
| /alanlar?istemci= | Hedef atama | Aktif |
| /sonuç | Kimlik bilgilerinin sızması | Verileri kabul eder |
| /istatistikler | Kampanya metrikleri | 59.000 uzlaşmayı açığa çıkarıyor |
| /sağlık | Sunucu kontrolü | duyarlı |
Temel IoC’ler arasında C2 IP’leri (67.217.57.240 bağlantı noktası 666/888/5656), dosyalar (/opt/pcpcat/*, ~/.pcpcat_installed), işlemler (gost -L çorap5://:1080, frpc) ve günlükler (“UwU PCP Cat was here~”, t.me/Persy_PCP) bulunur. Honeypot’lar, kapsayıcıya alınmış kalıcılık için 2375 numaralı bağlantı noktasında Docker API’sinin kötüye kullanımını tespit etti.
Tespit kuralları, “env” yüklerine sahip /result POST’lar için Suricata uyarılarını ve “CVE-2025-29927” ve “PCPcat” gibi react.py dizeleri için YARA uyarılarını kapsar.
Telegram kanalları t.me/teampcp aracılığıyla “PCP Cat” ile ilişkilendirilen kampanya, T1190 (genel uygulamadan yararlanma) ve T1552 (güvenli olmayan kimlik bilgileri) gibi MITRE ATT&CK teknikleriyle eşleşiyor.
Tahminler, günlük 41.000 riskin ele geçirildiğini tahmin ediyor ve bu da bulutun devralınması veya yeniden satılması için 300.000’den fazla kimlik bilgilerinin toplanmasıyla sonuçlanıyor. Next.js kullanıcılarının acilen yama yapması, C2 alanlarını engellemesi, anahtarları döndürmesi ve sistem anormalliklerini izlemesi gerekiyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
