PCPcat hujumi: 48 soatda 59 mingdan ortiq Next.js serverlar qanday buzib kirildi?

2025-yilda kiberxavfsizlik sohasida juda xavfli va tezkor hujum qayd etildi. PCPcat deb nomlangan bu hujum atigi 48 soat ichida 59 mingdan ortiq Next.js va React asosida ishlovchi serverlarni buzib kirishga muvaffaq bo‘ldi. Hujum shu qadar tez amalga oshirilganki, ko‘plab tizim egalari nima bo‘layotganini tushunib ulgurmasdan serverlari ustidan nazoratni yo‘qotgan.

Hujum qanday amalga oshirildi?

Hujumchilar Next.js ilovalaridagi ikki jiddiy zaiflikdan foydalangan:

  • CVE-2025-29927
  • CVE-2025-66478

Bu zaifliklar serverda masofadan buyruq bajarish (Remote Code Execution) imkonini beradi. Oddiy qilib aytganda, tajovuzkorlar internet orqali serverga o‘z buyruqlarini bajartira olgan.

Maxsus tayyorlangan so‘rovlar orqali:

  • serverda buyruq ishlatish tekshirilgan (id buyrug‘i),
  • keyin esa maxfiy fayllar o‘g‘irlangan.

Qanday ma’lumotlar o‘g‘irlangan?

Buzib kirilgan serverlardan quyidagi muhim ma’lumotlar qo‘lga kiritilgan:

  • .env fayllar (API kalitlar va parollar),
  • SSH kalitlar,
  • AWS va boshqa cloud sozlamalari,
  • Docker tokenlar,
  • Git hisob ma’lumotlari,
  • buyruqlar tarixi (bash history).

Bu ma’lumotlar orqali hujumchilar serverni to‘liq nazorat qilishi yoki boshqa tizimlarga ham hujum uyushtirishi mumkin bo‘lgan.

Serverda qanday qilib qolib ketishgan?

Hujumchilar faqat ma’lumot o‘g‘irlab ketish bilan cheklanmagan. Ular serverga:

  • maxfiy proxy dasturlarni,
  • teskari tunnel vositalarini,
  • tizim yuklanganda avtomatik ishga tushadigan xizmatlarni

o‘rnatgan. Bu ularga serverni uzoq vaqt yashirincha boshqarish imkonini bergan.

Boshqaruv serveri qanday fosh bo‘ldi?

Xavfsizlik tadqiqotchilari hujumchilarning boshqaruv serverini aniqlashga muvaffaq bo‘lishdi. Eng xavfli jihati — bu serverda hech qanday himoya bo‘lmagan va hujum statistikasi ochiq holda ko‘rinib turgan.

U yerdan ma’lum bo‘ldiki:

  • 91 mingdan ortiq server tekshirilgan,
  • 59 mingdan ortig‘i muvaffaqiyatli buzilgan,
  • hujumlar avtomatik tarzda davom etgan.

Zararlangan serverni qanday aniqlash mumkin?

Agar serveringizda quyidagilar aniqlansa, u zararlangan bo‘lishi mumkin:

  • noma’lum xizmatlar (pcpcat, gost, frpc),
  • shubhali systemd servislar,
  • g‘alati log yozuvlari,
  • ruxsatsiz tarmoq tunnellari,
  • Docker 2375-port ochiq holatda bo‘lishi.

Qanday choralar ko‘rish kerak?

Agar siz Next.js ishlatayotgan bo‘lsangiz:

  1. Next.js’ni darhol yangilang
  2. Barcha parol va kalitlarni almashtiring
  3. Serverda noma’lum servislarni o‘chiring
  4. Firewall va loglarni tekshiring
  5. Serverni doimiy monitoringga oling

PCPcat hujumi shuni ko‘rsatdiki, zamonaviy web-texnologiyalar ham agar vaqtida yangilanmasa, juda xavfli bo‘lishi mumkin. Bu hujum nafaqat yirik kompaniyalar, balki oddiy web-loyihalar uchun ham jiddiy ogohlantirishdir.

Xavfsizlik — bu bir martalik ish emas, balki doimiy jarayon.
Serveringiz bugun ishlayapti, degani u xavfsiz degani emas.