كشفت حملة برمجيات خبيثة جديدة، أُطلِق عليها اسم PCPcat، عن نجاحها في اختراق أكثر من 59 ألف خادم في أقل من 48 ساعة. يعتمد هذا الاختراق على استغلال ثغرات أمنية حرجة في إطاري عمل Next.js و React، مما يثير قلقاً متزايداً بشأن أمن التطبيقات المبنية على هذه التقنيات.
تستهدف الحملة الجديدة تطبيقات Next.js بشكل مباشر، مستغلة ثغرتين أمنيتين مصنفتين بخطورة عالية (CVE-2025-29927 و CVE-2025-66478). تسمح هاتان الثغرتان بتنفيذ تعليمات برمجية عن بعد دون الحاجة إلى أي مصادقة، وهو ما يعد مدخلاً سهلاً للمهاجمين.
تستخدم البرمجية الخبيثة تقنيات متقدمة مثل “تلوث النموذج الأولي” (prototype pollution) وحقن الأوامر (command injection) لتنفيذ أوامر ضارة على الخوادم المستهدفة. وقد لوحظ أن الحملة حققت نسبة نجاح عالية بشكل غير معتاد، بلغت 64.6%.
تُجري PCPcat مسحاً لتطبيقات Next.js المتاحة للعامة على نطاق واسع، حيث تختبر حوالي 2000 هدف في كل دفعة. وتعيد هذه المسوحات بشكل دوري كل 30 إلى 60 دقيقة، مما يضمن اكتشاف الثغرات الجديدة بسرعة.
تعمل البرمجية الخبيثة بالتعاون مع خادم قيادة وتحكم (Command and Control – C2) يتمركز في سنغافورة. يقوم هذا الخادم بتنسيق العمليات عبر ثلاثة منافذ رئيسية، كل منها له وظيفة محددة.
يُستخدم المنفذ 666 لتوزيع الحمولات الضارة، بينما يتعامل المنفذ 888 مع اتصالات الأنفاق العكسية. أما المنفذ 5656، فيشغل خادم التحكم الرئيسي الذي يتولى تعيين الأهداف وجمع البيانات المسروقة.
آلية الاستغلال وتنفيذ الأوامر بواسطة PCPcat
تتضمن آلية الهجوم إرسال حمولة JSON معدة خصيصاً إلى خوادم Next.js الضعيفة. تستغل هذه الحمولة ضعفاً في سلسلة نماذج JavaScript الأولية، وتقوم بحقن أوامر في وظيفة تنفيذ العمليات الفرعية.
تسعى البرمجية الخبيثة إلى استخراج ملفات حساسة للغاية من الخوادم المخترقة. تشمل هذه الملفات بيانات اعتماد الخدمات السحابية (مثل AWS)، ومفاتيح SSH، وسجل الأوامر فيbash، وملفات تهيئة Docker.
يتم إرسال المعلومات المسروقة إلى خادم التحكم عبر طلبات HTTP بسيطة، ولا تتطلب هذه الطلبات أي مصادقة، مما يسهل عملية السرقة دون إثارة الشبهات.
في خطوة لاحقة، تسعى PCPcat إلى تثبيت أدوات إضافية لضمان الوصول المستمر إلى الخادم المخترق. تقوم بتنزيل سكربت يقوم بإنشاء بروكسي GOST وأدوات نفق عكسية FRP. هذه الأدوات تنشئ قنوات اتصال مخفية تسمح للمهاجمين بالبقاء داخل النظام حتى بعد إصلاح الثغرة الأمنية الأصلية.
وفقاً لخبراء الأمن، تختبر البرمجية الخبيثة أولاً الأهداف بأمر بسيط للتحقق من وجود الثغرة قبل إطلاق سلسلة الهجوم الكاملة.
للحفاظ على الاستمرارية، تقوم البرمجية الخبيثة بإنشاء خدمات متعددة في النظام، والتي يعاد تشغيلها تلقائياً إذا توقفت أو عند إعادة تشغيل الخادم. هذه الخدمات تضمن استمرار عمل أدوات البروكسي والمسح، مما يبقي الخادم المخترق نشطاً ضمن شبكة البوت نت.
يمكن لمديري الشبكات كشف هذا النشاط من خلال مراقبة الاتصالات بخادم القيادة والتحكم، وتحديداً على المنافذ 666 و 888 و 5656. كما يجب البحث عن خدمات نظام بأسماء تحتوي على “pcpcat” وفحص الاتصالات الصادرة غير العادية التي تحمل بيانات JSON تحتوي على متغيرات بيئة أو بيانات اعتماد.