ghrc.io parece ser um site malicioso

 (bmitch.net)
1 pontos por GN⁺ 2025-08-25 | Ainda não há comentários. | Compartilhar no WhatsApp
  • A simples confusão entre ghcr.io e ghrc.io por erro de digitação pode causar uma ameaça de segurança grave
  • À primeira vista, ghrc.io parece apenas um servidor nginx padrão, mas internamente foi detectado que imita a API OCI
  • Este site usa o cabeçalho www-authenticate para induzir clientes de contêiner a enviar informações sensíveis de autenticação
  • Se alguém inserir credenciais por engano com docker login ou usar um registro incorreto, pode ocorrer vazamento de credenciais
  • Se você fez login no servidor errado, é necessário alterar a senha, revogar o PAT e verificar atividades anormais na conta do GitHub

Visão geral

A confusão frequente entre ghcr.io e ghrc.io causada por um simples erro de digitação é um caso que gera um problema de segurança muito perigoso. Foi detectada uma tentativa de roubo de credenciais em ghrc.io, uma versão com erro de digitação do GitHub Container Registry (ghcr.io), usado por muitos desenvolvedores e equipes.

O que é ghcr.io

  • ghcr.io é um registro compatível com OCI para imagens de contêiner e artefatos OCI
  • Como parte do GitHub, é usado como um registro popular em inúmeros projetos open source

ghrc.io: aparência na superfície

  • Ao acessar ghrc.io, aparece apenas a tela padrão do nginx
  • O comportamento básico, incluindo erros 404 típicos, é igual ao de um servidor nginx comum

A natureza da atividade maliciosa

  • O problema central aparece em chamadas da API OCI sob o prefixo /v2/
  • Ao acessar esse caminho, o site responde com cabeçalho www-authenticate e status 401, exibindo um comportamento muito semelhante ao de um registro oficial de contêineres
  • O cabeçalho www-authenticate: Bearer realm="https://ghrc.io/token"; está presente
  • Por causa desse cabeçalho, clientes como Docker, containerd, podman e Kubernetes tentam enviar automaticamente as credenciais do usuário para https://ghrc.io/token
  • Como a configuração padrão do nginx não inclui esse cabeçalho, trata-se de algo claramente configurado de forma intencional

Risco: cenário de roubo de credenciais

  • Esse padrão é considerado um ataque de roubo de credenciais baseado em typo-squatting
  • O risco só existe quando o cliente do usuário insere ou armazena credenciais para ghrc.io
  • Exemplos de situações em que credenciais reais podem ser expostas
    • Ao executar docker login ghrc.io
    • Ao usar docker/login-action dentro de um GitHub Action com o registro definido como ghrc.io
    • Ao salvar credenciais de registro para ghrc.io em um secret do Kubernetes e tentar fazer pull da imagem
  • Apenas tentar fazer push/pull de imagens em ghrc.io não expõe credenciais (após uma tentativa de token anônimo, o retorno é erro)

Como responder

  • Se você fez login por engano em ghrc.io, deve alterar imediatamente a senha e revogar o PAT (token de acesso pessoal) usado
  • Também é essencial verificar logins suspeitos ou atividades maliciosas na conta do GitHub
  • Um invasor pode usar isso para adicionar imagens maliciosas a repositórios no ghcr.io ou obter acesso à conta

Conclusão

  • É necessário tomar cuidado com sites de phishing que usam endereços semelhantes ao ghcr.io
  • São exigidas políticas ainda mais rigorosas para o gerenciamento de informações de segurança, como credenciais, tokens e senhas

Leituras relacionadas

Ainda não há comentários.

Ainda não há comentários.