Cyber-Angriff auf Next.js: 59.000 Server in 48 Stunden kompromittiert

Eine großangelegte Kampagne unter dem Namen PCPcat hat innerhalb von nur 48 Stunden rund 59.000 Next.js-Server kompromittiert. Sicherheitsforscher konnten durch aktive Honeypot-Überwachung die Command-and-Control-Infrastruktur der Angreifer analysieren und dokumentieren dabei eine Erfolgsrate von 64,6 Prozent. Die Analyse zeigt: Die Attacke kombiniert bekannte Schwachstellen mit automatisierter Infrastruktur und zielt auf den systematischen Diebstahl von Zugangsdaten ab.

Technische Details der Angriffswelle

Sicherheitsforscher Mario Candela hat im Rahmen seiner Honeypot-Überwachung eine aktive Angriffskampagne identifiziert, die gezielt Next.js- und React-Implementierungen ins Visier nimmt. Die Attacke nutzt zwei kritische Sicherheitslücken: CVE-2025-29927 und CVE-2025-66478. Beide Schwachstellen ermöglichen unauthentifizierte Remote Code Execution durch eine Kombination aus Prototype Pollution und Command Injection.

Der Angriffsvektor erfolgt über HTTP-POST-Anfragen mit multipart/form-data. Nach erfolgreicher Exploitation laden die kompromittierten Systeme automatisch ein Skript namens proxy.sh von der IP-Adresse 67.217.57.240 über Port 666. Dieses Skript installiert mehrere Komponenten: den GOST SOCKS5-Proxy, FRP-Reverse-Tunnel sowie persistente systemd-Dienste wie pcpcat-gost.service.

Die ausgenutzte Schwachstelle erhielt einen CVSS-Score von 9,8 und gilt damit als kritisch. Mehrere Next.js-Versionen sind betroffen.

Umfang der Operation

Die Untersuchung der Command-and-Control-Infrastruktur offenbarte das Ausmaß der Kampagne. In einem Zeitraum von 33 Stunden scannten die Angreifer 91.505 potenzielle Ziele. Von diesen wurden 59.128 Server erfolgreich infiltriert, was einer Erfolgsquote von 64,6 Prozent entspricht.

Besonders relevant: Die C2-API war ohne Authentifizierung öffentlich zugänglich, wodurch Forscher direkten Einblick in die Betriebsmetriken erhielten. Bei gleichbleibender Geschwindigkeit könnte die Kampagne theoretisch innerhalb eines Monats über 1,2 Millionen Server kompromittieren.

Profil der Angreifer

Die Gruppe bezeichnet sich selbst als „PCP Cat“ oder „Team PCP“, erkennbar an Signaturen in den verwendeten Dateien. Über Telegram-Kanäle wie „Persy_PCP“ und „teampcp“ betreiben die Akteure vermutlich Kommunikation und möglicherweise Rekrutierung.

Die technische Infrastruktur deutet auf professionelle Organisation hin: vollautomatisierte Scan- und Exploit-Mechanismen, modularer Payload-Aufbau, API-gesteuerte Befehls- und Kontrollsysteme sowie eine verteilte Botnet-Architektur. Das Beelzebub-Forschungsteam vermutet mehrere Motivationen hinter der Operation: Verkauf gestohlener Cloud-Zugangsdaten, Übernahme von AWS-, Azure- und GCP-Konten sowie Angriffe auf Software-Lieferketten durch Diebstahl von Entwickler-Credentials.

Persistenz-Mechanismen

Die installierten Komponenten sichern langfristigen Zugriff auf kompromittierte Systeme. Über systemd-Dienste wird automatischer Start nach Neustarts gewährleistet. FRP-Tunnel ermöglichen stabile Reverse-Verbindungen zu den Kontrollservern, während die C2-API die zentrale Steuerung der gesamten Botnet-Infrastruktur übernimmt.

Diese mehrschichtige Architektur erschwert die vollständige Bereinigung befallener Systeme erheblich.

Betroffene Systeme und Schutzmaßnahmen

Gefährdet sind primär ungepatchte Next.js- und React-Deployments mit öffentlichem Zugang. Besonders kritisch: Entwicklungsumgebungen mit exponierten .env-Dateien oder SSH-Schlüsseln sowie Cloud-Infrastrukturen auf AWS, Azure und GCP.

Sicherheitsexperten empfehlen sofortige Maßnahmen: Installation verfügbarer Security-Patches für Next.js, Blockierung der bekannten C2-IP-Adressen auf Firewall-Ebene sowie Rotation sämtlicher Zugangsdaten auf potenziell betroffenen Systemen. Zusätzlich sollten Organisationen systematische Incident-Response-Prozesse einleiten und längerfristig Zero-Trust-Architekturen mit kontinuierlichem Monitoring implementieren.

Einordnung durch Sicherheitsforscher

Das Beelzebub-Forschungsteam klassifiziert die PCPcat-Kampagne aufgrund ihrer Reichweite, Geschwindigkeit und technischen Sophistikation als kritische Bedrohung. Die hohe Erfolgsrate lässt auf entweder sehr präzise Zielauswahl oder extrem weit verbreitete Schwachstellen schließen.

Die öffentliche Zugänglichkeit der C2-API ohne Authentifizierungsmechanismen könnte einerseits auf Nachlässigkeit hindeuten, andererseits aber auch kalkuliertes Risiko im Vertrauen auf die schiere Geschwindigkeit der Operation sein.

Das Beelzebub-Forschungsteam veröffentlicht kontinuierlich Erkenntnisse zu aktuellen Bedrohungen, um die IT-Security-Community zu informieren und die Resilienz digitaler Infrastrukturen zu stärken.

Entdecke mehr