{"id":8720,"date":"2025-12-25T22:46:17","date_gmt":"2025-12-25T21:46:17","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=8720"},"modified":"2025-12-25T22:46:17","modified_gmt":"2025-12-25T21:46:17","slug":"operacija-pcpcat-ugrozeno-5900","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2025\/12\/25\/operacija-pcpcat-ugrozeno-5900\/","title":{"rendered":"Operacija PCPcat: Ugro\u017eeno 59,000 Next.js i React servera"},"content":{"rendered":"<p><em>PCPcat<\/em> operacija, koju je sigurnosni istra\u017eiva\u010d <em>Mario Candela<\/em> <a href=\"https:\/\/beelzebub.ai\/blog\/threat-huntinga-analysis-of-a-nextjs-exploit-campaign\/\" target=\"_blank\" rel=\"noopener\">razotkrio<\/a>, predstavlja naprednu kampanju kra\u0111e podataka za prijavu. Ova kampanja koristi automatizovane tehnike skeniranja i eksploatacije kako bi ugrozila mehanizme provjere identiteta u oblaku. Za manje od 48 sati, <em>PCPcat<\/em> operacija je kompromitovala preko 59.000 <em>Next.js<\/em> i <em>React<\/em> servera, \u010dime je istaknuta kriti\u010dna ranjivost u bezbjednosti infrastrukture u oblaku.<\/p>\n<div id=\"attachment_8721\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-8721\" class=\"size-full wp-image-8721\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-PCPcat-Compromises.jpg\" alt=\"PCPcat\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-PCPcat-Compromises.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-PCPcat-Compromises-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-PCPcat-Compromises-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-PCPcat-Compromises-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-PCPcat-Compromises-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-PCPcat-Compromises-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2025\/12\/Operation-PCPcat-Compromises-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-8721\" class=\"wp-caption-text\"><em>Operacija PCPcat: Ugro\u017eeno 59,000 React servera; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2025\/12\/25\/operacija-pcpcat-ugrozeno-5900\/#OPERACIJA_PCPCAT\">OPERACIJA PCPCAT<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2025\/12\/25\/operacija-pcpcat-ugrozeno-5900\/#Masovno_skeniranje_i_identifikacija_ranjivosti\">Masovno skeniranje i identifikacija ranjivosti<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2025\/12\/25\/operacija-pcpcat-ugrozeno-5900\/#Krada_podataka_za_prijavu\">Kra\u0111a podataka za prijavu<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2025\/12\/25\/operacija-pcpcat-ugrozeno-5900\/#Infrastruktura_komandovanja_i_kontrole\">Infrastruktura komandovanja i kontrole<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2025\/12\/25\/operacija-pcpcat-ugrozeno-5900\/#Samoodrzivi_krug_infekcije\">Samoodr\u017eivi krug infekcije<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"http:\/\/sajberinfo.com\/en\/2025\/12\/25\/operacija-pcpcat-ugrozeno-5900\/#UTICAJ\">UTICAJ<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"http:\/\/sajberinfo.com\/en\/2025\/12\/25\/operacija-pcpcat-ugrozeno-5900\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-8\" href=\"http:\/\/sajberinfo.com\/en\/2025\/12\/25\/operacija-pcpcat-ugrozeno-5900\/#PREPORUKE\">PREPORUKE<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"OPERACIJA_PCPCAT\"><\/span><strong>OPERACIJA <em>PCPCAT<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Iskori\u0161tavanje ranjivosti predstavlja uobi\u010dajenu taktiku koju <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni akteri<\/a> koriste kako bi stekli neovla\u0161ten pristup sistemima. U slu\u010daju operacije <em>PCPcat<\/em>, identifikovane su dvije kriti\u010dne slabosti \u2013 <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-29927\" target=\"_blank\" rel=\"noopener\"><em>CVE-2025-29927<\/em><\/a> i <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2025-66478\" target=\"_blank\" rel=\"noopener\"><em>CVE-2025-66478<\/em><\/a>. One poga\u0111aju implementacije razvojnog okru\u017eenja <em>Next.js<\/em>, omogu\u0107avaju\u0107i zlonamjernim akterima daljinsko izvr\u0161avanje proizvoljnog k\u00f4da.<\/p>\n<p>Va\u017enost ovih ranjivosti ogleda se u njihovom potencijalu da ugroze aplikacije zasnovane na <em>React<\/em> biblioteci za izgradnju korisni\u010dkih okru\u017eenja. <em>React<\/em>, kao popularna <em>JavaScript<\/em> biblioteka, \u0161iroko je primijenjen u razli\u010ditim industrijama. Iskori\u0161tavanje njenih ranjivosti mo\u017ee dovesti do ozbiljnih posljedica, uklju\u010duju\u0107i neovla\u0161teno izvr\u0161avanje komandi i zaobila\u017eenje tradicionalnih mehanizama provjere identiteta.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Masovno_skeniranje_i_identifikacija_ranjivosti\"><\/span><strong>Masovno skeniranje i identifikacija ranjivosti<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Napad u okviru operacije <em>PCPcat<\/em> zapo\u010dinje masovnim skeniranjem javno dostupnih domena koji koriste ranjiva <em>React<\/em> razvojna okru\u017eenja. Ovaj po\u010detni korak klju\u010dan je za identifikaciju sistema koje zlonamjerni akteri mogu ciljati. Upotreba automatizovanih alata omogu\u0107ava im da brzo pregledaju veliki broj <em>IP<\/em> adresa, tra\u017ee\u0107i slabosti koje se mogu iskoristiti.<\/p>\n<p>Kada se otkrije ranjiv server, zlonamjerni akteri primjenjuju razli\u010dite tehnike radi prikupljanja podataka o njegovoj konfiguraciji i zavisnostima. To obuhvata analizu mre\u017enog saobra\u0107aja, ispitivanje sistemskih zapisa ili kori\u0161tenje specijalizovanog softvera za prepoznavanje poznatih ranjivosti. U ovom slu\u010daju, iskori\u0161tavanje dvije identifikovane ranjivosti omogu\u0107ava im da uspostave upori\u0161te na ciljanim sistemima.<\/p>\n<p>U nastavku koriste tehniku poznatu kao zaga\u0111enje prototipa, kojom manipuli\u0161u prototipovima <em>JavaScript<\/em> objekata. Ova klasa ranjivosti omogu\u0107ava ubrizgavanje <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernih tereta<\/a> kroz kreirane <em>JSON<\/em> podatke, \u010dime se server zloupotrebljava za izvr\u0161avanje neovla\u0161tenih komandi.<\/p>\n<p>Zaga\u0111enje prototipa predstavlja sna\u017eno oru\u0111e koje zlonamjernim akterima daje mogu\u0107nost da zaobi\u0111u tradicionalne mehanizme provjere identiteta i preuzmu potpunu kontrolu nad ranjivim <em>React<\/em> serverima bez va\u017ee\u0107ih podataka za prijavu. Manipulisanjem lanca prototipa oni mogu da dodaju nova svojstva ili izmijene postoje\u0107a, \u0161to dovodi do neo\u010dekivanog pona\u0161anja i ugro\u017eavanja bezbjednosti.<\/p>\n<p>Kori\u0161tenje <em>JSON<\/em> podataka za ubrizgavanje zlonamjernih tereta dodatno komplikuje napad. Kreirani objekti mogu biti oblikovani tako da izbjegnu otkrivanje standardnim bezbjednosnim mjerama, \u0161to braniocima ote\u017eava pravovremeno prepoznavanje i ubla\u017eavanje ovakvih prijetnji.<\/p>\n<p>Operativni pokazatelji kampanje <em>PCPcat<\/em> ukazuju na ozbiljnu prijetnju. Procjenjuje se da je ukradeno izme\u0111u 300.000 i 590.000 skupova podataka za prijavu sa ranjivih servera, \u0161to jasno govori o razmjerama napada. Takva djelotvornost pokazuje da operacija ima potencijal da se koristi za obavje\u0161tajne aktivnosti i kra\u0111u podataka na industrijskoj skali. Dodatno, uspjeh lanca napada nagla\u0161en je sposobno\u0161\u0107u da izbjegne mehanizme detekcije, pa je stopa eksploatacije dostigla 64,6% me\u0111u ciljanom infrastrukturom. Ovi rezultati nedvosmisleno potvr\u0111uju snagu kampanje.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Krada_podataka_za_prijavu\"><\/span><strong>Kra\u0111a podataka za prijavu<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Kada se pristup jednom ostvari, <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> koji je rasporedila operacija <em>PCPcat<\/em> odmah se aktivira i usmjerava na kra\u0111u podataka za prijavu. On sistematski pretra\u017euje osjetljive informacije sa\u010duvane u sistemu, uklju\u010duju\u0107i <em>.env<\/em> konfiguracione datoteke, <em>SSH<\/em> privatne klju\u010deve, podatke za prijavu na servise u oblaku i promjenljive sistemskog okru\u017eenja. Takvi podaci zlonamjernim akterima potencijalno otvaraju pristup \u0161irim komponentama infrastrukture, poput <em>AWS<\/em> naloga, <em>Docker<\/em> okru\u017eenja i internih mre\u017ea.<\/p>\n<p>Sistematska pretraga osjetljivih podataka obilje\u017eje je zlonamjernog softvera operacije <em>PCPcat<\/em>. Davanjem prioriteta .<em>env<\/em> datotekama, <em>SSH<\/em> privatnim klju\u010devima, podacima za prijavu u oblaku i promjenljivim sistemskog okru\u017eenja, zlonamjerni akteri posti\u017eu maksimalnu djelotvornost u prikupljanju podataka. Ovakav pristup osigurava da su kompromitovani sistemi temeljno iskori\u0161teni, \u010dime se pove\u0107ava rizik od naknadnih napada na \u0161ire komponente infrastrukture.<\/p>\n<p>Nagla\u0161eni fokus na kra\u0111u podataka za prijavu, a ne na iskori\u0161tavanje pojedina\u010dnih ranjivosti, ukazuje na \u0161iri strate\u0161ki cilj: uspostavljanje trajnih pristupnih ta\u010daka unutar ciljanih mre\u017ea. Kra\u0111om podataka za prijavu za usluge u oblaku i privatnih <em>SSH<\/em> klju\u010deva, zlonamjerni akteri mogu odr\u017eati dugoro\u010dnu kontrolu nad infrastrukturom, omogu\u0107avaju\u0107i kontinuirane napore eksploatacije.<\/p>\n<h3><\/h3>\n<h3><span class=\"ez-toc-section\" id=\"Infrastruktura_komandovanja_i_kontrole\"><\/span><strong>Infrastruktura komandovanja i kontrole<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Infrastruktura komandovanja i kontrole (<em>C2<\/em>) \u010dini osnovu operacije <em>PCPcat<\/em> i omogu\u0107ava zlonamjernim akterima da uspostave prisustvo na ciljanim sistemima i koordiniraju aktivnosti u \u0161irokom obimu. Centralizovani server smje\u0161ten u Singapuru povezuje ranije ugro\u017eene ma\u0161ine sa operativnim centrom, dodjeljuje nove ciljeve za skeniranje i prikuplja podatke izvu\u010dene sa inficiranih sistema. Ovakva mre\u017ea od presudnog je zna\u010daja za uspjeh kampanje, jer zlonamjernim akterima pru\u017ea mogu\u0107nost da prilago\u0111avaju taktike i odr\u017eavaju kontrolu nad ranjivim resursima.<\/p>\n<p>S<a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">igurnosni istra\u017eiva\u010d<\/a> uspio je da ostvari direktan pristup ovom serveru putem javno dostupne interne kontrolne table. Ona je otkrila \u010detiri primarne <em>API<\/em> krajnje ta\u010dke koje se koriste za dodjelu zadataka, prihvatanje ukradenih podataka i prikaz operativne statistike. Posebno je uo\u010deno da <em>GET\/stats<\/em> ta\u010dka omogu\u0107ava neautentifikovan pristup metrikama kampanje, uklju\u010duju\u0107i podatke o skeniranim <em>IP<\/em> adresama i ranije ugro\u017eenim serverima. Ovakav propust ukazuje na ozbiljnu slabost infrastrukture, jer otvara prostor za insajderske prijetnje i neovla\u0161teno kori\u0161tenje osjetljivih informacija.<\/p>\n<p>Kontrolna tabla pru\u017eila je jedinstven uvid u razmjere operacije <em>PCPcat<\/em>, potvr\u0111uju\u0107i njen industrijski obim i brzo \u0161irenje preko ranjivih <em>React<\/em> servera. Statistika dobijena iz ovog izvora jasno je pokazala razmjenu podataka u okviru kampanje i naglasila potrebu za hitnim djelovanjem radi ubla\u017eavanja posljedica.<\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Samoodrzivi_krug_infekcije\"><\/span><strong>Samoodr\u017eivi krug infekcije<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p>Operacija <em>PCPcat<\/em> pokazala je primjenu razvijene paradigme automatizacije koja omogu\u0107ava samoodr\u017eivi krug infekcije. Ovakav dizajn klju\u010dan je za razumijevanje obima i uticaja aktivnosti zlonamjernog aktera.<\/p>\n<p>Kori\u0161tenje <em>systemd<\/em> servisa za pode\u0161avanje posredni\u010dkih (eng. <em>proxy<\/em>) alata poput <em>GOST<\/em> i <em>Fast<\/em> <em>Reverse<\/em> <em>Proxy<\/em> obezbje\u0111uje neprimjetnu integraciju sa postoje\u0107im mehanizmima upravljanja. Na taj na\u010din ranjivi sistemi zadr\u017eavaju funkcionalnost i vezu sa <em>C2<\/em> serverom \u010dak i nakon ponovnog pokretanja ili mre\u017enih prekida, \u0161to u\u010dvr\u0161\u0107uje kontrolu nad infrastrukturom i nagla\u0161ava dugoro\u010dno iskori\u0161tavanje.<\/p>\n<p>Softver svakih 45 minuta tra\u017ei nove ciljne <em>IP<\/em> adrese od komandno-kontrolnog (<em>C2<\/em>) servera, pri \u010demu svaka ma\u0161ina zahtijeva oko 2.000 novih ciljeva. Time se stvara povratni krug koji produ\u017eava ciklus infekcije bez potrebe za direktnom intervencijom operatera.<\/p>\n<p>Ovakva organizacija ukazuje da iza kampanje stoji dobro opremljen i visoko organizovan zlonamjerni akter, a ne neko ko koristi ranjivosti radi kratkoro\u010dnih koristi. Ta razlika od su\u0161tinskog je zna\u010daja za odbranu i poku\u0161aje ubla\u017eavanja posljedica.<\/p>\n<p>Samoodr\u017eivi mehanizam zasniva se na kontinuiranom tra\u017eenju novih ciljeva, \u0161to omogu\u0107ava produ\u017eene aktivnosti kampanje i ote\u017eava odbranu. Razumijevanje ovog procesa klju\u010dno je za razvoj strategija koje mogu omesti ili razbiti ciklus infekcije.<\/p>\n<p>Ovakav dizajn ima ozbiljne posljedice za bezbjednost. Shvatanjem na\u010dina na koji se odr\u017eava krug infekcije, timovi za odbranu mogu razviti ciljane mjere koje \u0107e ga omesti ili potpuno razbiti.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"UTICAJ\"><\/span><strong>UTICAJ<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Uticaj operacije <em>PCPcat<\/em> predstavlja surov podsjetnik na sveprisutni pejza\u017e prijetnji sa kojima se organizacije i pojedinci suo\u010davaju u dana\u0161njem digitalnom dobu. Ova napredna sajber kampanja pokazala je nevi\u0111en nivo automatizacije, skalabilnosti i upornosti, ostavljaju\u0107i za sobom trag kompromitovanih servera i ukradenih podataka za prijavu.<\/p>\n<p>Razmjera operacije svjedo\u010di o domi\u0161ljatosti i odlu\u010dnosti uklju\u010denih zlonamjernih aktera. Posljedice po organizacije su dalekose\u017ene i potencijalno razorne. Sa hiljadama ve\u0107 kompromitovanih servera, rizik od ugro\u017eavanja podataka, kra\u0111e intelektualne svojine i naru\u0161avanja reputacije postaje veoma realan. Dodatno zabrinjava \u010dinjenica da svaka kompromitovana ma\u0161ina mo\u017ee zahtijevati nove ciljne <em>IP<\/em> adrese svakih 45 minuta od centralnog komandnog servera, stvaraju\u0107i petlju infekcije koja se \u0161iri bez direktnog u\u010de\u0161\u0107a operatera.<\/p>\n<p>Uticaj na korisnike je podjednako ozbiljan. Kako se operacija <em>PCPcat<\/em> dalje razvija, raste vjerovatno\u0107a da \u0107e ukradeni podaci za prijavu biti prodati ili iskori\u0161teni za nove zlonamjerne aktivnosti. Time se ugro\u017eava za\u0161tita li\u010dnih podataka i digitalna bezbjednost uop\u0161te. Posebno zabrinjava \u0161to kampanja cilja <em>React<\/em> razvojno okru\u017eenje i servere, \u010dime se jasno isti\u010de ranjivost modernih <em>JavaScript<\/em> ekosistema.<\/p>\n<p>Infrastruktura postojanosti koju su izgradili zlonamjerni akteri predstavlja dodatno polje rizika. Vi\u0161eslojni pristup, uklju\u010duju\u0107i sistemske servise i <em>C2<\/em> <em>API<\/em> krajnje ta\u010dke, pokazuje da je u operaciju <em>PCPcat<\/em> ulo\u017een zna\u010dajan napor kako bi se obezbijedilo trajno prisustvo na kompromitovanim sistemima. Ovakav nivo slo\u017eenosti dodatno ote\u017eava braniocima da otkriju napade i efikasno reaguju.<\/p>\n<p>Analiza potvr\u0111uje da je za manje od 48 sati kompromitovano preko 59.000 servera, \u0161to jasno pokazuje brzinu kojom se ovakve prijetnje mogu razviti. Javna dostupnost <em>C2<\/em> <em>API<\/em> krajnje ta\u010dke bez provjere identiteta dodatno pogor\u0161ava problem, jer omogu\u0107ava i drugim zlonamjernim akterima da pro\u0161ire svoj doseg i preuzmu kontrolu nad kompromitovanim sistemima.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Operacija <em>PCPcat<\/em> se odlikuje naprednim na\u010dinom napada, koji spaja iskori\u0161tavanje ranjivosti u <em>Next.js<\/em> i <em>React<\/em> okru\u017eenjima sa sistematskim izvla\u010denjem podataka za prijavu i drugih osjetljivih informacija. Takav pristup zlonamjernim akterima omogu\u0107ava postavljanje <em>C2<\/em> infrastrukture radi trajnosti i komunikacije, \u0161to na kraju vodi do komande i kontrole preko <em>API<\/em> krajnjih ta\u010daka.<\/p>\n<p>Stopa uspje\u0161nosti od 64,6% pokazuje da kampanja ima visok stepen djelotvornosti u poga\u0111anju ranjivih sistema. Kori\u0161tenje propusta <em>CVE-2025-29927<\/em> i <em>CVE-2025-66478<\/em> ukazuje na jasno poznavanje slabosti u <em>Next.js<\/em> i <em>React<\/em> aplikacijama. Ovo znanje se koristi za daljinsko izvr\u0161avanje k\u00f4da, \u010dime zlonamjerni akteri dobijaju mogu\u0107nost da pokre\u0107u zlonamjerne programe na napadnutim serverima. Sposobnost kampanje da se prilago\u0111ava i razvija potvr\u0111uje njen visok nivo razvijenosti.<\/p>\n<p>Za manje od 48 sati operacija <em>PCPcat<\/em> zahvatila je preko 59.000 servera, dok je <em>C2<\/em> <em>API<\/em> ostao javno dostupan bez provjere identiteta. Odsustvo bezbjednosnih kontrola mo\u017ee omogu\u0107iti i drugim zlonamjernim akterima da pristupe kompromitovanim sistemima i preuzmu kontrolu nad njima, \u010dime je prijetnja dodatno pro\u0161irena. Istovremeno, povezivanje sistemskih servisa sa <em>C2<\/em> <em>API<\/em> krajnjim ta\u010dkama obezbijedilo je vi\u0161eslojnu infrastrukturu trajnosti, \u0161to je napad u\u010dinilo otpornijim i znatno te\u017eim za otkrivanje.<\/p>\n<p>Ova operacija predstavlja ozbiljnu prijetnju koja zahtijeva hitnu reakciju programerske zajednice. Njena sposobnost da se \u0161iri, mijenja i prilago\u0111ava \u010dini je opasnim protivnikom. Razumijevanje taktika, tehnika i postupaka koje koristi neophodno je za izgradnju djelotvornih odbrambenih mjera.<\/p>\n<p>Operacija <em>PCPcat<\/em> jasno ukazuje na zna\u010daj bezbjednosti u razvoju softvera. Programeri moraju staviti akcenat na bezbjedne prakse pri pisanju k\u00f4da, pravovremeno otklanjanje slabosti i redovna a\u017euriranja. Samo zajedni\u010dkim naporom programera, organizacija i stru\u010dnjaka za bezbjednost mogu\u0107e je sprije\u010diti sli\u010dne napade.<\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"PREPORUKE\"><\/span><strong>PREPORUKE<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p>Nedavno otkri\u0107e operacije <em>PCPcat<\/em> jasno je ukazalo na kriti\u010dnu potrebu da organizacije i pojedinci preduzmu hitne mjere radi za\u0161tite od ove napredne kampanje. Preporuke koje slijede mogu pomo\u0107i u ja\u010danju bezbjednosnog polo\u017eaja i smanjenju rizika od sli\u010dnih prijetnji:<\/p>\n<ol>\n<li>Prvi korak ka ubla\u017eavanju rizika povezanih sa operacijom <em>PCPcat<\/em> jeste primjena ispravki na sva implementiranja <em>Next.js<\/em> i <em>React<\/em> razvojnih okru\u017eenja, kao i na infrastrukturu u oblaku na <em>AWS<\/em>, <em>Azure<\/em> i <em>GCP<\/em> platformama, zajedno sa razvojnim okru\u017eenjima koja mogu biti ranjiva. Ove mjere treba sprovesti \u0161to je prije mogu\u0107e, idealno u roku od nekoliko sati.<\/li>\n<li>Organizacije moraju preduzeti korake da blokiraju infrastrukturu komande i kontrole (<em>C2<\/em>) povezanu sa operacijom <em>PCPcat<\/em>. Ovo se mo\u017ee posti\u0107i implementacijom segmentacije mre\u017ee, za\u0161titnih zidova ili drugih bezbjednosnih kontrola koje sprje\u010davaju komunikaciju izme\u0111u internih sistema i poznatih zlonamjernih <em>IP<\/em> adresa.<\/li>\n<li>Sve razvojne podatke za prijavu, <em>SSH<\/em> klju\u010deve i <em>.env<\/em> datoteke treba odmah rotirati kako bi se smanjio rizik od ugro\u017eenog pristupa. Ovo uklju\u010duje rotiranje <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinki<\/a> za sve korisnike, kao i a\u017euriranje <em>API<\/em> klju\u010deva i tokena koje koriste aplikacije.<\/li>\n<li>Dugoro\u010dno gledano, implementacija arhitekture nultog povjerenja je neophodna za sprje\u010davanje <a href=\"https:\/\/sajberinfo.com\/en\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">bo\u010dnog kretanja<\/a> unutar mre\u017ee organizacije. Ovo podrazumijeva provjeru identiteta i pouzdanosti svakog korisnika, ure\u0111aja ili procesa koji poku\u0161ava da pristupi resursima na mre\u017ei.<\/li>\n<li>Organizacije moraju razviti sveobuhvatne <a href=\"https:\/\/sajberinfo.com\/en\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">planove odgovora na sajber prijetnju<\/a> koji uklju\u010duju procedure za otkrivanje, reagovanje na i obuzdavanje bezbjednosnih incidenata povezanih sa operacijom <em>PCPcat<\/em>.<\/li>\n<li>Implementacija mogu\u0107nosti kontinuiranog pra\u0107enja je klju\u010dna za identifikovanje potencijalnih ranjivosti ili sumnjivih aktivnosti unutar infrastrukture organizacije. Ovo se mo\u017ee posti\u0107i upotrebom alata za evidentiranje, sistema za detekciju upada (eng. <em>intrusion detection systems \u2013 IDS<\/em>) i drugih bezbjednosnih kontrola.<\/li>\n<li>Bezbjedna razvojna okru\u017eenja su klju\u010dna u sprje\u010davanju napada u lancu snabdijevanja poput operacije <em>PCPcat<\/em>. Organizacije treba da obezbijede da se svi razvojni podaci za prijavu, <em>SSH<\/em> klju\u010devi i <em>.env<\/em> datoteke bezbjedno \u010duvaju i redovno rotiraju.<\/li>\n<li>Implementacija jakih mehanizama provjere identiteta kao \u0161to je autentifikaciju u vi\u0161e koraka (eng. <em>multi-factor authentication \u2013 MFA<\/em>) mo\u017ee zna\u010dajno smanjiti rizik od neovla\u0161tenog pristupa infrastrukturi organizacije.<\/li>\n<li>Redovna a\u017euriranja zavisnosti koje koriste aplikacije mogu pomo\u0107i u sprje\u010davanju iskori\u0161tavanja ranjivosti od strane zlonamjernog aktera poput onih koji stoje iza operacije <em>PCPcat<\/em>.<\/li>\n<li>Implementacija segmentacije mre\u017ee podrazumijeva podjelu mre\u017ee na manje, izolovane segmente kojima je mogu\u0107e pristupiti samo preko kontrolisanih okru\u017eenja. Ovo ote\u017eava zlonamjernim akterima bo\u010dno kretanje unutar mre\u017ee i pristup osjetljivim resursima.<\/li>\n<li>Kori\u0161tenje bezbjednih komunikacionih protokola kao \u0161to su <em>HTTPS<\/em> ili <em>SFTP<\/em> mo\u017ee pomo\u0107i u sprje\u010davanju kra\u0111e podataka <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanjem<\/a> komunikacije izme\u0111u sistema.<\/li>\n<li>Organizacije treba da prate javne krajnje ta\u010dke koje koriste njihove aplikacije kako bi otkrile potencijalne ranjivosti ili sumnjive aktivnosti povezane sa operacijom <em>PCPcat<\/em>.<\/li>\n<li>Kori\u0161tenje alata za analizu pona\u0161anja kao \u0161to su softveri za detekciju i odgovor na prijetnje (eng. <em>endpoint detection and response \u2013 EDR<\/em>) ili sistemi za upravljanje bezbjednim informacijama i doga\u0111ajima (eng. <em>security information and event management \u2013 SIEM<\/em>) mo\u017ee pomo\u0107i u identifikaciji potencijalnih ranjivosti ili sumnjivih aktivnosti povezanih sa operacijom <em>PCPcat<\/em>.<\/li>\n<li>Kori\u0161tenje obavje\u0161tajnih informacija o prijetnjama iz renomiranih izvora mo\u017ee organizacijama pru\u017eiti vrijedne uvide u potencijalne prijetnje povezane sa operacijom <em>PCPcat<\/em> i trebalo bi da bude integrisano u planove za odgovor na sajber prijetnje.<\/li>\n<\/ol>\n<p>Iznad navedene preporuke predstavljaju klju\u010dni element za\u0161tite od rizika povezanih sa operacijom <em>PCPcat<\/em> i sli\u010dnim napadima. Njihova primjena mo\u017ee zna\u010dajno smanjiti izlo\u017eenost korisnika i organizacija, \u010dime se ja\u010da ukupni bezbjednosni polo\u017eaj i umanjuju potencijalne posljedice budu\u0107ih prijetnji.<\/p>","protected":false},"excerpt":{"rendered":"<p>PCPcat operacija, koju je sigurnosni istra\u017eiva\u010d Mario Candela razotkrio, predstavlja naprednu kampanju kra\u0111e podataka za prijavu. Ova kampanja koristi automatizovane tehnike skeniranja i eksploatacije kako bi ugrozila mehanizme provjere identiteta u oblaku. Za manje&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":8721,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[3744,3748,1452,3747,3745,3742,3532,3746,54,3590,3743],"class_list":["post-8720","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-bezbjedan-cloud","tag-cyber-awareness","tag-data-protection","tag-devops-sigurnost","tag-nextjs-safe-code","tag-pcpcat-napad","tag-ranjivosti","tag-react-safe-apps","tag-sajber-bezbjednost","tag-sigurni-podaci","tag-zastita-servera"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8720","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=8720"}],"version-history":[{"count":5,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8720\/revisions"}],"predecessor-version":[{"id":8726,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/8720\/revisions\/8726"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/8721"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=8720"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=8720"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=8720"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}