React2Shell を悪用する PCPcat：CVE-2025-55182／29927 を悪用して59,000+ 台のサーバを侵害

New PCPcat Exploiting React2Shell Vulnerability to compromise 59,000+ Servers

2025/12/15 CyberSecurityNews — PCPcat と呼ばれる新たなマルウェア攻撃キャンペーンは、Next.js／React フレームワークの深刻な脆弱性を標的とするものであり、48 時間以内に 59,000 台以上のサーバに侵入している。この Next.js 環境を標的とするマルウェアは、認証なしでリモート・コード実行を可能にする、２つの深刻な脆弱性 CVE-2025-29927 と CVE-2025-55182 (CVE-2025-66478) を悪用している。この攻撃の手法は、プロトタイプ汚染およびコマンド・インジェクションを用いるものであり、脆弱なサーバ上で有害なコマンド実行を可能にする。

このキャンペーンの成功率は 64.6% とされ、この種の攻撃として異例な高さを示している。PCPcat の戦術は、公開されている Next.js アプリケーションを大規模にスキャンし、１つのバッチで 2,000 件のターゲットをテストし、30〜60 分ごとにスキャンを実行するというものだ。

このマルウェアは、シンガポールにある C2 (Command and Control) を介して動作し、３つの主要ポートで攻撃を統括するものである。

ポート 666 は有害なペイロードの配布センターとして機能し、ポート 888 はリバーストンネル接続を処理し、ポート 5656 はターゲットの割り当ておよび窃取データの収集のための主要な制御サーバとして機能する。

Docker ハニーポットのアクティブ監視中における C2 サーバの偵察を通じて、この攻撃キャンペーンの全インフラが発見された。

Beelzebub のセキュリティ・アナリストたちが特定したのは、このマルウェアが完全な攻撃チェーンを開始する前に、単純なコマンドでターゲットをテストして、脆弱性 CVE-2025-29927／CVE-2025-55182 の存在を確認していることだった。

そして、脆弱なサーバを見つけると、環境ファイル／クラウド認証情報／SSH キー／コマンド履歴ファイルを抽出する。それらの窃取された情報は、認証を必要としない HTTP リクエストを通じて制御サーバに送り返される。

認証情報を窃取した後に、このマルウェアは長期的なアクセスを維持するために、追加のツールのインストールを試みる。具体的には、侵害したサーバに GOST プロキシソフトウェアおよび FRP リバーストンネル・ツールを設定するための、スクリプトをダウンロードする。

これらのツールは、初期の脆弱性が修正された後であっても、攻撃者がアクセスを維持できる隠しチャネルを作成するものだ。

エクスプロイトのメカニズムとコード実行

特別に細工された JSON ペイロードを、脆弱な Next.js サーバに送信することで、この攻撃は機能する。このペイロードは JavaScript プロトタイプ・チェーンを操作し、子プロセス実行関数にコマンドを挿入する。

マルウェアは以下の構造を使用する。

payload = {
  "then": "$1:__proto__:then",
  "status": "resolved_model",
  "_response": {
    "_prefix": "var res=process.mainModule.require('child_process')
      .execSync('COMMAND_HERE').toString();"
  }
}

このペイロードは、攻撃者が望む任意のコマンドを、サーバに強制的に実行させる。その結果は、特別にフォーマットされたリダイレクト・ヘッダーを介して返され、マルウェアは疑われることなくデータを即座に抽出できる。

その後に、このマルウェアが体系的に検索するのは、”.aws” フォルダ内の AWS 認証情報／Docker 設定ファイル／Git 認証情報などに加えて、最近に使用されたコマンドを含む bash 履歴などの重要ファイルである。

さらに、このマルウェアは、停止時やサーバ再起動時に自動的に再起動する複数の systemd サービスを作成し、永続性を維持する。

これらの悪意のサービスは、プロキシおよびスキャン・ツールを継続的に実行し、侵害したサーバをボットネット内でアクティブ状態に保つ。インストールは複数箇所で行われ、少なくとも１つのコピーが、セキュリティ・クリーンアップ後も生き残るようにしている。

ネットワーク管理者が行うべきことは、コマンドサーバの IP アドレス 67.217.57.240 に対するポート 666／888／5656 への接続の監視と、名前に “pcpcat” を含む systemd サービスの確認、環境変数または認証情報を含む JSON データを転送する異常なアウトバウンド接続の検証などである。そうすることで、この悪意のアクティビティの検出が可能になる。

Next.js や React をターゲットにする、PCPcat というマルウェアの活動が検出されました。この攻撃が広まってしまった原因は、JavaScript 特有の仕組みであるプロトタイプ汚染の悪用にあります。攻撃者が用意した特別な JSON データをサーバが処理する際に、プログラムの基盤となる部分であるプロトタイプ・チェーンが書き換えられ、OS への命令を直接送り込むコマンド・インジェクションが可能になってしまいました。なお、この記事で解説されている CVE-2025-29927 は、2025年3月に開示された React の脆弱性です。また、CVE-2025-66478 は、Next.js の脆弱性として開示されたものですが、React の CVE-2025-55182 と重複しているため REJECT 扱いとなっています。よろしければ、React2Shell での検索結果も、ご参照ください。