Typosquatting-Angriff stiehlt GitHub-Anmeldedaten über ghrc.io
Ein einfacher Tippfehler, 'ghrc.io' statt 'ghcr.io', führte zu einem bösartigen Angriff, der GitHub-Anmeldedaten stiehlt. Der Angreifer nutzt 'ghrc.io', um das GitHub-Container-Registry ghcr.io nachzuahmen. Obwohl es wie eine Standard-Nginx-Installation aussieht, antwortet 'ghrc.io' auf OCI-API-Anfragen (/v2/) mit einem 401 Unauthorized-Fehler und einem www-authenticate-Header, der Clients anweist, ihre Anmeldedaten an https://ghrc.io/token zu senden. Dies ahmt auf clevere Weise legitime Container-Registries nach. Die Anmeldung bei 'ghrc.io' führt zum Diebstahl von Anmeldedaten. Angreifer könnten diese Anmeldedaten verwenden, um bösartige Images zu pushen oder direkt auf GitHub-Konten zuzugreifen. Überprüfen Sie, ob Sie sich jemals bei 'ghrc.io' angemeldet haben, und ändern Sie Ihre Passwörter und PATs sofort.
Mehr lesen