PCPcat: exploração em massa atinge 59.000+ servidores Next.js e React

A campanha PCPcat explorou vulnerabilidades em Next.js e React (CVE‑2025‑29927, CVE‑2025‑66478), comprometendo mais de 59.000 servidores em menos de 48 horas e instalando túnel e persistência (GOST, FRP). Recomenda‑se patch imediato, rotação de credenciais e investigação forense.

Uma campanha massiva atribuída ao malware PCPcat explorou vulnerabilidades críticas em servidores Next.js e React, comprometendo dezenas de milhares de instâncias em menos de 48 horas e montando uma infraestrutura de botnet para exfiltração e túnel reverso.

Descoberta e escopo

Pesquisadores relataram que a campanha explorou vulnerabilidades identificadas como CVE‑2025‑29927 e CVE‑2025‑66478 — falhas que permitem execução remota não autenticada via payloads JSON especialmente construídos. Em menos de 48 horas mais de 59.000 servidores foram listados como comprometidos pelo PCPcat.

Vetor e técnica de exploração

A exploração usa técnicas de prototype pollution e injeção de comandos em pontos que aceitam JSON, levando à execução de processos filho do Node.js (child_process). O atacante aproveita essa cadeia para executar comandos no host, coletar ficheiros de ambiente, chaves de nuvem, credenciais SSH e históricos, e em seguida instalar componentes para persistência e tunelamento.

Infraestrutura pós‑exploração

Após a intrusão o malware instala ferramentas de túnel e persistência como GOST e FRP, além de criar serviços systemd redundantes para manter o acesso. A coordenação do C2 foi atribuída a um endereço IP centralizado (67.217.57.240) usando portas 666, 888 e 5656, segundo o mesmo relatório.

Impacto e riscos operacionais

Comprometimentos em massa deste escopo expõem chaves de acesso a provedores de nuvem, segredos de aplicações e credenciais de administradores, que podem permitir escalonamento lateral para infraestruturas mais privilegiadas — inclusive reuso de chaves em pipelines CI/CD e bancos de segredos. Além disso, servidores comprometidos passam a servir de infraestrutura de exfiltração e salto para outras operações ofensivas.

Recomendações de defesa

Inventariar aplicações que usam Next.js/React e aplicar os patches ou versões corretivas indicadas pelos mantenedores.
Bloquear ou monitorar ativamente tráfego para o IP C2 conhecido e para as portas associadas (666, 888, 5656), sempre que compatível com a política de rede e investigação forense.
Rotacionar chaves/segredos encontrados em ambientes potencialmente afetados e analisar logs para detecção de exfiltração de ficheiros de ambiente (.env), chaves ou históricos de shell.
Verificar serviços systemd e scripts de inicialização para entradas não autorizadas e remover persistências; restaurar a partir de imagens conhecidas quando possível.
Implementar controles de ingress/egress e WAFs capazes de bloquear payloads JSON malformados e inspeção de entrada para ataques de prototype pollution.

O que ainda não está claro

O relatório não fornece uma contagem detalhada por provedor de nuvem nem uma lista pública exaustiva de domínios ou IOCs para cada implante do PCPcat; também faltam informações sobre a origem inicial do comprometimento (ex.: técnicas de scan versus ataques direcionados a cadeias de dependência). Times de resposta devem assumir que qualquer servidor vulnerável que não tenha sido atualizado nos dois últimos dias pode estar comprometido.

A magnitude (59.000+ servidores) e a rapidez da campanha tornam essa atividade uma prioridade para equipes de segurança de plataformas web e provedores de nuvem. A resposta combina correção urgente, revogação/rotacionamento de credenciais e investigação forense para identificar alcance e pontos de pivot.