ghrc.io を利用したタイプスクワッティング攻撃でGitHubの認証情報が盗難される
2025-08-25
単純なタイプミスである 'ghrc.io' を 'ghcr.io' と間違えることで、GitHub の認証情報を盗む悪意のある攻撃が発生しました。攻撃者は 'ghrc.io' を使用して GitHub のコンテナレジストリである ghcr.io を模倣します。一見するとデフォルトの Nginx インストールのように見えますが、'ghrc.io' は OCI API 要求 (/v2/) に対して 401 Unauthorized エラーと www-authenticate ヘッダーを返し、クライアントに https://ghrc.io/token に認証情報を送信するよう指示します。これは巧妙に正規のコンテナレジストリを模倣しています。'ghrc.io' にログインすると、認証情報が盗難されます。攻撃者はこれらの認証情報を使用して悪意のあるイメージをプッシュしたり、GitHub アカウントに直接アクセスしたりする可能性があります。'ghrc.io' にログインしたことがあるかどうかを確認し、パスワードと PAT をすぐに変更してください。
テクノロジー
タイプスクワッティング