1.PCPcat キャンペーン概要
PCPcat は Next.js および React フレームワークの重大な脆弱性を狙う大規模なマルウェア攻撃キャンペーン。48 時間弱で 59,000 台以上のサーバーを侵害したと報告されている。
2.標的となる脆弱性
攻撃は主に以下のような脆弱性を悪用している。
• React2Shell こと CVE-2025-55182 を含む、React/Next.js の複数の重大なリモートコード実行(RCE)脆弱性(認証不要で任意コード実行が可能)への攻撃。
3.侵入と悪用のメカニズム
PCPcat は攻撃対象をスケール自動化し、脆弱なサーバーをスキャンして特定すると以下の動作を行いる。
• プロトタイプ汚染やコマンドインジェクションの手法を用いて命令を実行。
• サーバー環境変数、クラウド認証情報、SSH キー、コマンド履歴などの情報を抽出。
• 抽出した情報を C2(コマンド&コントロール)サーバーへ送信。
• 侵害後、永続化のためにプロキシやトンネルツールをインストール。
• その後も自動ツールでスキャンと侵害を繰り返す。
4.実装上の特徴
• 攻撃インフラはシンガポール拠点の C2 サーバーを中心に複数ポート(例:666、888、5656)で制御。
• PCPcat は侵害済みサーバーに永続サービスを設置し、再起動後も維持。
5.影響と対応のポイント
React2Shell 脆弱性自体は広く公開されており、活発なスキャンおよび侵害が確認されているため、影響を受けるサーバーは即時パッチ適用が最重要です。具体的には React/Next.js の依存関係を最新版へ更新し、不要な Server Components の無効化や WAF/侵入防止策を講じるべき。
入会申込
ログイン
