ghrc.io 恶意域名劫持窃取 GitHub 凭据
2025-08-25
一个简单的错别字“ghrc.io”(正确的应该是 ghcr.io)导致了一个严重的恶意攻击事件。攻击者利用该域名模仿 GitHub 的容器镜像仓库 ghcr.io,诱导用户输入 GitHub 凭据。ghrc.io 实际上是一个默认的 Nginx 安装,但在 OCI API 接口(/v2/)下,它会返回 401 Unauthorized 错误,并包含 www-authenticate 头,指示客户端将凭据发送到 https://ghrc.io/token。此行为与合法的容器仓库非常相似,极易骗过用户。一旦用户登录 ghrc.io,其 GitHub 凭据将被窃取。攻击者可能利用这些凭据推送恶意镜像或直接访问 GitHub 帐户。建议检查是否曾登录过 ghrc.io,并及时更改密码和 PAT。
科技