Next.js狙う大規模攻撃「PCPcat」を確認 48時間で約6万台のサーバを侵害：セキュリティニュースアラート

Next.jsとReactの脆弱性を悪用し、短期間で数万台のサーバを侵害した大規模攻撃キャンペーン「PCPcat」が確認されている。攻撃は無差別に公開アプリを探索し、侵入後は認証情報を窃取して踏み台化する危険なキャンペーンだという。

[後藤大地，ITmedia]

　セキュリティ企業のBeelzebubは2025年12月14日（現地時間）、Webアプリケーションフレームワーク「Next.js」を狙った大規模なサイバー攻撃キャンペーン「PCPcat」を確認した。

　この攻撃キャンペーンでは、Next.jsおよびJavaScriptライブラリー「React」環境に存在する2つの脆弱（ぜいじゃく）性「CVE-2025-29927」および「CVE-2025-66478」が悪用され、48時間以内に少なくとも5万9128台のサーバが侵害されたという。CVE-2025-66478については現在、「CVE-2025-55182」（通称：React2Shell）として統合されている。

約6万台のサーバが侵害　“手当たり次第”に仕掛けられる攻撃に注意

　Beelzebubは、「Docker」ハニーポットの監視中に不審な挙動を検知し、攻撃インフラの調査を進めた。その過程で、攻撃者が使用しているコマンド＆コントロール（C2）サーバに直接アクセスし、運用状況を示すAPI情報を取得したと説明している。このC2サーバはシンガポールにあるとされ、侵害状況やスキャン数などの統計情報が外部から参照可能な状態にあった。

　攻撃はインターネットに公開されたNext.jsアプリケーションを大量に探索することから始まる。攻撃用プログラムは、まず簡単なコマンドを実行して脆弱性の有無を確認し、対象が脆弱である場合に限り、本格的な侵入処理に移行する仕組みを備えていた。悪用された脆弱性ではJSONの構造を利用したプロトタイプ汚染や、「Node.js」の子プロセス実行機能へのコマンド注入が実行され、外部から任意の命令を実行できる状態になるとされる。

　侵入に成功したサーバでは環境設定ファイルやシステム環境変数が収集対象となる。.env系ファイル、「Amazon Web Services」（AWS）などのクラウド認証情報、SSHの秘密鍵、Dockerや「Git」の設定情報、シェルの操作履歴、システムアカウント情報を含むファイルが探索され、取得されたデータはHTTP経由でC2サーバに送信される。これらの送信先APIには認証が設定されておらず、送信された情報はそのまま保存される構成であったという。

　攻撃者が長期間のアクセスを確保するための仕組みも確認したと報告している。侵害後、対象サーバでは外部から取得したスクリプトが実行され、SOCKS5プロキシやリバーストンネル用のソフトウェアが導入される。この処理により、攻撃者は侵害されたサーバを通信の中継や内部ネットワークに接続するなどの踏み台としていた。これらのプログラムはsystemdのサービスとして登録され、再起動後も動作を継続する設計だった。

　確認されたC2サーバの統計情報によると、約9万1500のIPアドレスがスキャンされ、そのうち64.6％に相当するサーバで侵入が成立したと記録されていた。この数値は、一般的な自動化攻撃と比較して高い水準にある。Beelzebubは、この点について、脆弱な構成のNext.js環境が広範囲に存在している可能性を示唆する材料になると述べている。

　また攻撃対象は特定の組織に限定されておらず、公開状態にあるNext.jsアプリケーション全般が含まれるとしている。クラウド環境で稼働するサービスや開発用環境も対象となり得るため、該当システムを運用する組織は設定状況の確認と脆弱性対応が必要になると指摘した。侵害防止のためには該当する脆弱性への修正適用や不審な通信の監視、認証情報の管理状況の確認が不可欠と助言している。