Hack Alerta

Campanha PCPcat explora falhas em Next.js e compromete 59.128 servidores

Por Redação Hack Alerta Publicado em 24/12/2025 05:03 Riscos e Ameaças Tempo de leitura: 4 min

Campanha PCPcat comprometeu 59.128 deployments públicos de Next.js em 48 horas explorando CVE‑2025‑29927 e CVE‑2025‑66478. Ativos comprometidos instalaram proxies e túneis, exfiltrando .env, chaves SSH, tokens Docker e configurações AWS; C2 expõe API sem autenticação.

Introdução

Relatórios de pesquisadores e investigação de terceiros documentam uma campanha em larga escala chamada PCPcat que comprometeu 59.128 deployments públicos de aplicações Next.js em menos de 48 horas, explorando falhas de execução remota de código e exfiltrando credenciais e tokens.

Descoberta e escopo

A análise — citada por pesquisadores como Mario Candela e por plataformas de telemetria — indica que os scans da operação varreram ao menos 91.505 IPs públicos e obtiveram sucesso em 59.128 alvos (taxa de sucesso de ~64,6%). As vulnerabilidades exploradas são relacionadas a dois identificadores técnicos referenciados na cobertura: CVE‑2025‑29927 e CVE‑2025‑66478. O campaign control (C2) observado inclui o IP 67.217.57.240 com portas 5656/666/888 em atividade.

Vetor e técnica de exploração

Os atacantes usaram scanners (distribuídos via um artefato chamado react.py) que enviam cargas JSON que abusam de prototype pollution e invocam child_process.execSync() em servidores vulneráveis. O exploit confirma RCE com um teste simples (“id”) e, em seguida, extrai segredos locais: .env, chaves SSH, configurações AWS, tokens Docker, credenciais Git e histórico de bash.

Infraestrutura e exfiltração

Hosts comprometidos fazem o download de um script (proxy.sh) a partir de 67.217.57.240:666 e instalam proxies SOCKS5 (GOST), túneis reversos (FRP) e serviços systemd persistentes (ex.: pcpcat-gost.service). A infraestrutura C2 expõe uma API sem autenticação com endpoints observados como GET /stats (mostrando 91.505 IPs escaneados e 59.128 comprometidos), GET /domains?client= e POST /result — este último aceitava payloads JSON de até 2MB contendo dados exfiltrados.

IoCs e detecção

  • C2 observado: 67.217.57.240 (portas 5656, 666, 888).
  • Arquivos e paths: /opt/pcpcat/*, ~/.pcpcat_installed.
  • Processos e serviços: gost -L socks5://:1080, frpc, systemd services nomeados pcpcat-*.service.
  • Assinaturas e logs: strings em logs como "UwU PCP Cat was here~" e menções a t.me/Persy_PCP em artefatos.
  • Detecções sugeridas: regras Suricata para POST /result com payloads contendo chaves como "env", YARA para strings específicas em react.py.

Impacto e riscos operacionais

Os atacantes conseguiram extrair credenciais e tokens que permitem takeover de contas em nuvem, acesso a repositórios e movimento lateral em ambientes que baseiam-se em segredos armazenados no filesystem. Projeções citadas pela análise apontam para dezenas de milhares de compromissos diários e centenas de milhares de credenciais colhidas para revenda ou sequência de ataques a ambientes em nuvem.

Recomendações imediatas

  • Aplicar patches e atualizações para as versões do Next.js e bibliotecas associadas que corrigem CVE‑2025‑29927 e CVE‑2025‑66478, conforme orientações dos mantenedores e CVE vendors.
  • Bloquear/monitorar conexões para os IoCs conhecidos (67.217.57.240 e portas relacionadas) em firewalls e proxies; inspecionar logs de POST/GET suspeitos em endpoints web públicos.
  • Rotacionar chaves e tokens potencialmente expostos: credenciais AWS, tokens Docker, chaves SSH e credenciais Git armazenadas em servidores afetados.
  • Procurar por serviços systemd persistentes incomuns e por artefatos em /opt e home directories que correspondam a /opt/pcpcat/* ou ~/.pcpcat_installed.
  • Ativar detecção baseada em comportamento: alertas para child_process.execSync() invocados por processos de servidor web e leitura de .env em contexto de requests externos.

Limitações e dados ausentes

Os números de comprometidos (59.128) e escaneados (91.505) foram apresentados por pesquisadores e por APIs públicas expostas pela infraestrutura C2; no entanto, a cobertura não identifica uma lista pública de domínios ou organizações afetadas individualmente. Também não há, no material consultado, um inventário por país ou a confirmação de afetados em provedores específicos (ex.: Vercel, Netlify) — o relatório recomenda que times de segurança busquem evidências em seus próprios ambientes.

Conclusão

PCPcat é uma campanha massiva de credential theft e takeover focada em deployments públicos de Next.js, combinando exploração RCE, exfiltração de segredos e entrega de proxies/túneis para persistência e pivot. Organizações que expõem aplicações Next.js devem priorizar patching, inspeção de logs, rotação de segredos e bloqueio dos IoCs divulgados.

Fonte técnica: Cyber Security News / análise de Mario Candela e telemetria pública observada em 24/12/2025.
Baseado em publicação original de Cyber Security News
Tags: #pcpcat #nextjs #react #rce #cve-2025-29927 #cve-2025-66478 #credential-theft #c2 #cloud
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar