عملية PCPcat تخترق أكثر من 59000 خادم Next.js/React خلال 48 ساعة

 

 

 

في أقل من 48 ساعة، تمكنت حملة سرقة بيانات اعتماد ضخمة، أُطلق عليها اسم PCPcat، من اختراق 59,128 خادمًا من خوادم Next.js. استغلت هذه العملية ثغرات أمنية خطيرة، CVE-2025-29927 وCVE-2025-66478، محققةً نسبة نجاح بلغت 64.6% من بين 91,505 هدفًا تم فحصها.

تقوم برامج فحص PCPcat، الموزعة عبر برمجية react.py الخبيثة، بفحص عمليات نشر Next.js العامة بحثًا عن ثغرات تسمح بتنفيذ التعليمات البرمجية عن بُعد. يستخدم المهاجمون تقنية "تلوث النموذج الأولي" في حمولات JSON لحقن الأوامر عبر دالة child_process.execSync()، ويؤكدون تنفيذ التعليمات البرمجية عن بُعد من خلال اختبار "id" قبل استخراج بيانات الاعتماد من ملفات .env، ومفاتيح SSH، وإعدادات AWS، ورموز Docker، وبيانات اعتماد Git، وسجل أوامر bash. تستغل هذه العملية ثغرات أمنية خطيرة، CVE-2025-29927 وCVE-2025-66478، محققةً نسبة نجاح بلغت 64.6% على 91,505 هدفًا تم فحصها.

تقوم برامج فحص PCPCat، الموزعة عبر برمجية react.py الخبيثة، بفحص تطبيقات Next.js العامة بحثًا عن ثغرات تسمح بتنفيذ التعليمات البرمجية عن بُعد. يستخدم المهاجمون تقنية "تلوث النموذج الأولي" في حمولات JSON لحقن الأوامر عبر دالة child_process.execSync()، ويؤكدون تنفيذ التعليمات البرمجية عن بُعد من خلال اختبار "id" قبل استخراج بيانات الاعتماد من ملفات .env، ومفاتيح SSH، وإعدادات AWS، ورموز Docker، وبيانات اعتماد Git، وسجل أوامر bash. 

 بحسب تحليل ماريو كانديلا، تقوم الأجهزة المخترقة بتنزيل ملف proxy.sh من العنوان 67.217.57.240:666، وتثبيت وكيل GOST SOCKS5، وأنفاق FRP العكسية، وخدمات systemd المستمرة مثل pcpcat-gost.service.

انكشاف بنية التحكم والسيطرة

يُشغّل خادم التحكم والسيطرة على العنوان 67.217.57.240:5656 واجهة برمجة تطبيقات غير مصادق عليها، ويُسرّب الإحصائيات علنًا عبر طلب GET /stats: تم فحص 91,505 عنوان IP، ونجحت 59,128 عملية، بحجم دفعة 2,000 عنوان IP عشوائي.

تسترجع العُقد الأهداف عبر طلب GET /domains?client=<ID>، وتُسرّب البيانات عبر طلب POST /result (حمولات JSON تصل إلى 2 ميجابايت)، وتتحقق من حالة الأجهزة عبر /health. أكدت عملية الاستطلاع التي أجرتها شركة كانديلا باستخدام نظام الخداع (Honeypot) استيعاب البيانات، مع تمكين عملية النفق FRP على المنفذ 888 من التبديل.

 الغرض من نقطة النهاية | الحالة
/domains?client=<ID> تعيين الهدف | نشط
/result تسريب بيانات الاعتماد | يقبل البيانات
/stats مقاييس الحملة | يكشف عن 59 ألف ثغرة أمنية
/health فحص الخادم | متجاوب

 تشمل مؤشرات الاختراق الرئيسية عناوين IP لخوادم التحكم والسيطرة (67.217.57.240، المنافذ 666/888/5656)، والملفات (/opt/pcpcat/*، ~/.pcpcat_installed)، والعمليات (gost -L socks5://:1080، frpc)، والسجلات ("UwU PCP Cat was here~"، t.me/Persy_PCP). رصدت أنظمة الخداع إساءة استخدام واجهة برمجة تطبيقات Docker على المنفذ 2375 لضمان استمرارية الوصول داخل الحاويات.

تغطي قواعد الكشف تنبيهات Suricata لطلبات POST إلى /result التي تحتوي على حمولات "env"، وYARA لسلاسل react.py مثل "CVE-2025-29927" و"PCPcat".
... تُنسب هذه الحملة إلى مجموعة "PCP Cat" عبر قنوات تيليجرام t.me/teampcp، وتتوافق مع تقنيات MITRE ATT&CK مثل T1190 (استغلال ثغرة في تطبيق عام) وT1552 (بيانات اعتماد غير محمية).

تشير التقديرات إلى حدوث 41,000 اختراق يوميًا، مما يؤدي إلى سرقة أكثر من 300 ألف بيانات اعتماد لاستخدامها في السيطرة على خدمات الحوسبة السحابية أو إعادة بيعها. يجب على مستخدمي Next.js تحديث أنظمتهم بشكل عاجل، وحظر نطاقات التحكم والسيطرة، وتغيير مفاتيح التشفير، ومراقبة أي خلل في نظام systemd.