オータードメイン ‘ghrc.io’ がGitHub資格情報の盗難リスクを引き起こす

ソフトウェアエンジニアのブランダン・ミッチェルによると、GitHubのコンテナレジストリに類似したドメイン 'ghrc[.]io' は、典型的なデフォルトのNginxウェブサーバーページを表示しますが、/v2/エンドポイントはOCIの動作を模倣し、デフォルトのNginxとは異なる動作をします。他のレジストリと比較して、401ステータス、www-authenticateヘッダー、エラーメッセージはOCI仕様の標準に似ていますが、www-authenticateヘッダーはDocker、containerd、podman、Kubernetesで使用されるさまざまなCRIなどのOCIクライアントにユーザー資格情報を送信するよう指示します。

ミッチェルは、「このヘッダーがデフォルトのnginxインストールに設定される正当な理由はなく、サーバーの残りの部分はこれがコンテナレジストリではないことを示しています。すべての兆候は、資格情報の盗難を目的としたオータースクワッティング攻撃であることを示しています」と述べました。たとえば、'docker login ghrc.io'を実行したり、'docker/login-action' GitHubアクションを使用してghrc[.]ioをレジストリとして指定し、ghrc[.]ioのレジストリ資格情報でKubernetesシークレットを作成し、その後誤ったホストからイメージを取得しようとすると、資格情報が漏洩する可能性があります。

ミッチェルは、「誤ったサーバーにログインした場合、パスワードを変更し、使用したすべてのPATを無効にし、GitHubアカウント内の悪意のある活動を確認してください」と警告しました。攻撃者はこれらの資格情報を使用してghcr.ioリポジトリに悪意のあるイメージをプッシュしたり、使用されたログイン資格情報に応じてGitHubアカウントに直接アクセスしたりする可能性があります。