12月初，React开发工程团队披露并修复了重大安全漏洞CVE-2025-55182（React2Shell），该漏洞存在于React服务器组件（RSC）中。漏洞公布数小时后即被利用，近期有安全公司发现新一轮大规模攻击，指出黑客的攻击成功率极高。

AI蜜罐平台Beelzebub披露了一项名为Operation PCPcat的攻击活动，黑客针对Next.js应用发起攻击，试图利用React2Shell漏洞进行大规模凭证窃取。经确认，两天内已对91,505台服务器进行探测，其中59,128台服务器遭受入侵，漏洞利用成功率达64.6%。按每台服务器泄露5至10个凭证估算，可能有30万至59万组凭证外泄。

针对此次攻击，黑客首先扫描互联网上可访问的Next.js应用域名，随后使用复杂的命令工具react.py识别目标服务器是否存在React2Shell漏洞并触发利用。接着，黑客通过原型污染（prototype pollution）手法操纵JSON负载，执行命令注入，并利用HTTP头部重定向方式将数据外传。窃取的信息包括系统环境变量、SSH密钥、云平台凭证、Git仓库凭证、关键系统文件，以及最近执行的100条命令等。

最终，黑客部署了完整的C2通信基础设施，包括SOCKS5代理工具GOST、反向隧道工具FRP，以及React主机扫描工具。此外，黑客还通过创建systemd服务、在异常时自动延迟启动、以及确保重启后载荷仍能保留等手段，企图长期维持对受感染服务器的控制。