“PCPcat Operasyonu” adlı karmaşık bir kimlik bilgisi çalma kampanyası, dünya çapında 59.000’den fazla Next.js sunucusunun güvenliğini tehlikeye attı ve endüstriyel ölçekte hassas kimlik doğrulama verilerini toplamak için popüler React çerçevesindeki kritik güvenlik açıklarından yararlandı.
Güvenlik araştırmacıları kampanyayı bal küpü izleme yoluyla keşfettiler ve saldırganların komuta ve kontrol altyapısına doğrudan erişim sağlayarak endişe verici operasyonel ölçümleri ortaya çıkardılar.
Kampanya, 59.128 onaylı sunucu ihlali ve yaklaşık 300.000 ila 590.000 kimlik bilgisi setinin çalınmasıyla %64,6’lık bir istismar başarı oranını koruyor.
Tehdit aktörleri, Next.js dağıtımlarında uzaktan kod yürütmeyi gerçekleştirmek için CVE-2025-29927 ve CVE-2025-66478 adlı iki kritik güvenlik açığından yararlanıyor.
Saldırı zinciri, halka açık Next.js etki alanlarının toplu olarak taranmasıyla başlar ve ardından JSON yükünün manipülasyonu yoluyla kötü amaçlı komutlar enjekte eden prototip kirliliği saldırıları gelir.
Kötü amaçlı yazılım, hedef sisteme girdikten sonra .env dosyalarına, SSH özel anahtarlarına, bulut kimlik bilgilerine ve sistem ortamı değişkenlerine öncelik vererek sistematik bir veri çıkarma rutini yürütür.
Kampanyanın Singapur’da 67.217.57.240 adresinde barındırılan komuta ve kontrol altyapısı, tarama hedeflerini atayan, sızdırılan verileri kabul eden ve operasyonel istatistikler sağlayan dört ana API uç noktası üzerinden çalışıyor.
Özellikle C2 sunucusu, kimlik doğrulaması yapılmamış bir GET/istatistik uç noktası aracılığıyla kampanya ölçümlerinin tamamını açığa çıkarıyor ve saldırganların gelişigüzel hedeflemeyle 91.505 IP adresini taradığını ortaya koyuyor.
Kalıcılık için kötü amaçlı yazılım, GOST proxy yazılımını ve Hızlı Ters Proxy (FRP) bileşenlerini yükleyerek sistemin yeniden başlatılmasından sonra hayatta kalabilen sistem hizmetleri oluşturur.
Saldırı altyapısı, ele geçirilen her makinenin C2 sunucusunu her 45 dakikada bir 2.000 yeni hedef için sorgulamasıyla sürekli taramaya olanak tanır ve potansiyel olarak günde 41.000 ek sunucunun tehlikeye girmesine neden olur.
Saldırganların Next.js’nin dahili bileşenlerini ve bulut altyapısını ileri düzeyde anladığını gösteren saldırı, büyük ölçekli istihbarat operasyonlarının özelliklerini gösteriyor.
Beelzebub’a göre kötü amaçlı yazılım özellikle AWS kimlik bilgilerini, Docker yapılandırmalarını, GitHub belirteçlerini ve geliştirme ortamlarında yaygın olarak depolanan diğer bulutta yerel kimlik doğrulama mekanizmalarını hedef alıyor.
Next.js kullanan kuruluşlar, dağıtımlarını yetkisiz erişime karşı derhal denetlemeli, .env dosyasının içeriğini incelemeli, açığa çıkan tüm kimlik bilgilerini döndürmeli ve ağ bölümlendirmesini uygulamalıdır.
Güvenlik ekipleri, prototip kirliliği girişimleri için Suricata kurallarının izlenmesi, “pcpcat” kötü amaçlı yazılımını tanımlayan YARA imzaları ve child_process yürütme modellerinin davranışsal analizi yoluyla güvenliği ihlalleri tespit edebilir.
Kampanyanın halka açık C2 metrikleri, saldırganların, savunmacıların altyapılarını haritalandırdıklarından habersiz olabileceğini ve tehdit aktörlerinin taktiklerini uyarlamasından önce proaktif savunma için dar bir pencere sağladığını gösteriyor.
Uzlaşma Göstergeleri (IoC’ler)
C2 Altyapısı
67.217.57.240:666 - Distribution server (payload hosting)
67.217.57.240:888 - FRP C2 (reverse tunneling)
67.217.57.240:5656 - Main C2 API (task assignment, data exfiltration)API Uç Noktaları
http://67.217.57.240:5656/domains - Target assignment (fetches 2000 IPs)
http://67.217.57.240:5656/result - Data exfiltration (accepts credential POST)
http://67.217.57.240:5656/health - Health check
http://67.217.57.240:5656/stats - Operational metrics (EXPOSES CAMPAIGN DATA)
http://67.217.57.240:666/files/proxy.sh - Persistence installer
http://67.217.57.240:666/files/react.py - Scanner/exploit moduleAnında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.