GitHub 자격 증명 도용 위험 있는 오타 도메인 ‘ghrc.io’

소프트웨어 엔지니어 브랜든 미첼에 따르면, 'ghrc[.]io' 도메인은 GitHub의 컨테이너 레지스트리와 유사한 도메인으로, 기본 Nginx 웹 서버 페이지를 표시하지만 /v2/ 엔드포인트는 OCI의 동작을 모방하면서도 기본 Nginx와는 다르게 작동한다고 보고되었습니다. 다른 레지스트리와 비교했을 때, 401 상태, www-authenticate 헤더, 오류 메시지가 OCI 사양의 표준과 유사하지만, www-authenticate 헤더는 Docker, containerd, podman 및 Kubernetes에 사용되는 다양한 CRI와 같은 다양한 OCI 클라이언트에 사용자 자격 증명을 보내도록 지시합니다.

미첼은 '기본 nginx 설치에 이 헤더가 구성될 합법적인 이유가 없으며, 서버의 나머지 부분은 이것이 컨테이너 레지스트리가 아님을 나타냅니다. 모든 징후는 자격 증명 도용을 목표로 한 오타 스쿼팅 공격임을 나타냅니다'라고 말했습니다. 예를 들어, 'docker login ghrc.io'를 실행하거나 'docker/login-action' GitHub 액션을 사용하여 ghrc[.]io를 레지스트리로 지정하고, ghrc[.]io의 레지스트리 자격 증명으로 Kubernetes 비밀을 생성한 후 잘못된 호스트에서 이미지를 가져오려고 시도하면 자격 증명이 유출될 수 있습니다.

미첼은 '잘못된 서버에 로그인한 경우 비밀번호를 변경하고 사용한 모든 PAT를 비활성화하며 GitHub 계정 내에서 악의적인 활동을 확인하십시오'라고 경고했습니다. '공격자는 이러한 자격 증명을 사용하여 ghcr.io 저장소에 악성 이미지를 푸시하거나, 사용된 로그인 자격 증명에 따라 GitHub 계정에 직접 액세스할 수 있습니다.'