12月初React開發工程團隊揭露及修補重大資安漏洞CVE-2025-55182(React2Shell),此為發生在React Server Components(RSC)元件的漏洞,在公布數小時後就傳出遭到利用,近期有資安公司發現新一波大規模攻擊,並指出駭客成功的機率相當高。
AI蜜罐陷阱平臺Beelzebub揭露名為Operation PCPcat的攻擊活動,駭客針對Next.js應用程式下手,試圖透過React2Shell入侵,並進行大規模憑證收集,經確認兩天內已針對91,505臺進行探測,有59,128臺伺服器受害,漏洞利用活動的成功比例高達64.6%。以每臺伺服器被偷走5至10個憑證來估算,恐有30萬至59萬組憑證外洩。
針對這波攻擊活動,駭客起初針對可從網際網路存取的Next.js應用程式網域名稱,發動大規模掃描,並透過複雜的命令工具react.py,識別應用程式伺服器是否存在React2Shell並觸發,然後藉由原型汙染(prototype pollution)手法操作JSON有效酬載,執行命令注入,將結果得到的資料,將獲取的資料透過HTTP標頭重新導向手法外傳。駭客搜刮的資料包含系統環境變數、SSH金鑰、雲端憑證、Git儲存庫憑證、重要系統檔案,以及最近下達的100個指令等。
最終駭客部署完整的C2通訊基礎設施,其中包括:SOCKS5代理伺服器工具GOST、反向隧道Fast Reverse Proxy(FRP),以及React主機掃描工具。此外,駭客也透過建立systemd服務、運作異常時自動延遲啟動,以及重開機後有效酬載仍會留存等機制,企圖維持在受害伺服器活動。
熱門新聞
2026-01-02
2026-01-02
2026-01-02
2026-01-02
2026-01-02
2026-01-02