PCPcat

🔍 Contexte Publié le 6 avril 2026 par Unit 42 (Palo Alto Networks), cet article de recherche analyse l’évolution des menaces ciblant les environnements Kubernetes en 2025-2026. La télémétrie de l’éditeur révèle une augmentation de 282% des opérations liées au vol de tokens Kubernetes sur un an, avec le secteur IT représentant 78% des activités observées. 📊 Cas 1 : Vol de tokens et mouvement latéral dans une plateforme crypto Mi-2025, Unit 42 documente une intrusion dans une bourse de cryptomonnaies attribuée au groupe nord-coréen Slow Pisces (alias Lazarus, TraderTraitor). L’attaque suit le schéma suivant : ...

Selon une publication de recherche de Mario Candela, une campagne baptisée « PCPcat » cible des déploiements Next.js/React en exploitant les vulnérabilités CVE-2025-29927 et CVE-2025-66478 pour obtenir une exécution de code à distance, voler des identifiants et installer une infrastructure C2 persistante. Résumé opérationnel ️: la campagne combine scans massifs, exploitation RCE Next.js, exfiltration d’identifiants (.env, clés SSH, AWS, Docker, Git, historiques bash, etc.) et déploiement de proxies/tunnels (GOST, FRP) via un installeur (proxy.sh). Un accès non authentifié à l’API C2 a exposé des métriques en temps réel : 59 128 serveurs compromis sur 91 505 IPs scannées (succès 64,6 %) et des lots de 2 000 cibles par requête. ...