PCPcat adlı yeni bir kötü amaçlı yazılım kampanyası, Next.js ve React çerçevelerindeki kritik güvenlik açıklarından hedefli şekilde yararlanarak 48 saatten kısa bir süre içinde 59.000’den fazla sunucunun güvenliğini başarıyla ele geçirdi.
Kötü amaçlı yazılım, kimlik doğrulama olmadan uzaktan kod yürütülmesine izin veren CVE-2025-29927 ve CVE-2025-66478 adlı iki kritik güvenlik açığından yararlanarak Next.js dağıtımlarını hedefliyor.
Saldırı, savunmasız sunucularda zararlı komutları yürütmek için prototip kirliliği ve komut enjeksiyon tekniklerini kullanıyor.
Kampanya, bu tür operasyonlar için alışılmadık derecede yüksek olan yüzde 64,6’lık bir başarı oranı gösterdi. PCPcat, halka açık Next.js uygulamalarını geniş ölçekte tarar, her grupta 2.000 hedefi test eder ve bu taramaları her 30 ila 60 dakikada bir çalıştırır.
Kötü amaçlı yazılım, Singapur’daki operasyonu üç ana bağlantı noktasında düzenleyen bir komuta ve kontrol sunucusu aracılığıyla çalışıyor.
Bağlantı noktası 666, zararlı yükler için dağıtım merkezi olarak hizmet eder, bağlantı noktası 888 ters tünel bağlantılarını yönetir ve bağlantı noktası 5656, hedefleri atayan ve çalınan verileri toplayan ana kontrol sunucusunu çalıştırır.
Docker balküplerinin aktif olarak izlenmesi sırasında kampanya, komuta ve kontrol sunucusunun keşfi yoluyla operasyonun tüm altyapısını keşfetti.
Beelzebub’daki güvenlik analistleri, kötü amaçlı yazılımın, tüm saldırı zincirini başlatmadan önce ilk önce hedefleri basit bir komutla test ederek savunmasız olup olmadıklarını kontrol ettiğini belirledi.
Güvenlik açığı bulunan bir sunucu bulunduğunda ortam dosyalarını, bulut kimlik bilgilerini, SSH anahtarlarını ve komut geçmişi dosyalarını çıkarır.
Çalınan bilgiler, kimlik doğrulama gerektirmeyen basit HTTP istekleri yoluyla kontrol sunucusuna geri gönderilir.
Kötü amaçlı yazılım, kimlik bilgilerini çaldıktan sonra uzun vadeli erişim için ek araçlar yüklemeye çalışır. Güvenliği ihlal edilen sunucuya GOST proxy yazılımı ve FRP ters tünelleme araçlarını kuran bir komut dosyası indirir.
Bu araçlar, saldırganların ilk güvenlik açığı kapatıldıktan sonra bile erişimi sürdürmelerine olanak tanıyan gizli kanallar oluşturur.
Yararlanma Mekanizması ve Kod Yürütme
Saldırı, güvenlik açığı bulunan Next.js sunucularına özel hazırlanmış bir JSON verisi göndererek çalışıyor.
Bu veri, JavaScript prototip zincirini yönetir ve komutları alt süreç yürütme işlevine enjekte eder.
Kötü amaçlı yazılım aşağıdaki yapıyı kullanır: –
payload = {
"then": "$1:__proto__:then",
"status": "resolved_model",
"_response": {
"_prefix": "var res=process.mainModule.require('child_process')
.execSync('COMMAND_HERE').toString();"
}
}Bu veri, sunucuyu saldırganın istediği herhangi bir komutu çalıştırmaya zorlar. Sonuçlar, özel olarak biçimlendirilmiş bir yönlendirme başlığı aracılığıyla döndürülür ve bu, kötü amaçlı yazılımın, anında şüphe uyandırmadan verileri çıkarmasına olanak tanır.
Kötü amaçlı yazılım daha sonra .aws klasöründeki AWS kimlik bilgileri, Docker yapılandırma dosyaları, Git kimlik bilgileri ve son kullanılan komutları içeren bash geçmişi gibi değerli dosyaları sistematik olarak arar.
Kalıcılığı korumak için kötü amaçlı yazılım, durdurulduğunda veya sunucu yeniden başlatıldığında otomatik olarak yeniden başlatılan birden fazla sistem hizmeti oluşturur.
Bu hizmetler proxy’yi ve tarama araçlarını sürekli çalıştırarak tehlikeye atılan sunucuyu botnet’te aktif tutar. Kurulum, en az bir kopyanın güvenlik temizleme çabalarından sağ çıkmasını sağlamak için birden fazla konumda gerçekleşir.
Ağ yöneticileri, 666, 888 ve 5656 numaralı bağlantı noktalarında komut sunucusu IP adresi 67.217.57.240’a yapılan bağlantıları izleyerek, pcpcat içeren adlara sahip sistemd hizmetlerini arayarak ve ortam değişkenleri veya kimlik bilgileri içeren JSON verilerini taşıyan olağandışı giden bağlantıları kontrol ederek bu etkinliği tespit edebilir.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
