ghrc.io Diduga sebagai Situs Berbahaya

 (bmitch.net)
1 poin oleh GN⁺ 2025-08-25 | Belum ada komentar. | Bagikan ke WhatsApp
  • Kebingungan sederhana akibat salah ketik antara ghcr.io dan ghrc.io menimbulkan ancaman keamanan serius
  • ghrc.io sekilas terlihat seperti server nginx bawaan, tetapi secara internal terdeteksi meniru OCI API
  • Situs ini, melalui header www-authenticate, mendorong klien kontainer untuk mengirim informasi autentikasi sensitif
  • Jika tanpa sengaja memasukkan kredensial seperti lewat docker login atau memakai registry yang salah, dapat terjadi kebocoran kredensial
  • Jika pernah login ke server yang salah, perlu mengganti kata sandi, mencabut PAT, dan memeriksa aktivitas mencurigakan pada akun GitHub

Gambaran umum

Kebingungan yang mudah terjadi karena salah ketik antara ghcr.io dan ghrc.io dapat memicu masalah keamanan yang sangat berbahaya. Pada ghrc.io, versi typo dari GitHub Container Registry (ghcr.io) yang digunakan banyak developer dan tim, terdeteksi upaya pencurian kredensial.

Apa itu ghcr.io

  • ghcr.io adalah registry yang kompatibel dengan OCI untuk image kontainer dan artefak OCI
  • Sebagai bagian dari GitHub, layanan ini dipakai luas sebagai registry populer oleh banyak proyek open source

ghrc.io: tampilan di permukaan

  • Saat mengakses ghrc.io, yang terlihat hanyalah halaman default nginx
  • Perilaku dasar seperti error 404 yang umum juga sama seperti server nginx biasa

Hakikat perilaku berbahaya tersebut

  • Masalah utamanya muncul saat ada pemanggilan OCI API di bawah prefix /v2/
  • Saat jalur ini diakses, ia menampilkan perilaku yang sangat mirip dengan registry kontainer resmi melalui header www-authenticate dan respons 401
  • Terdapat header www-authenticate: Bearer realm="https://ghrc.io/token";
  • Karena header ini, klien seperti Docker, containerd, podman, Kubernetes, dan lainnya akan secara otomatis mencoba mengirim informasi autentikasi pengguna ke https://ghrc.io/token
  • Konfigurasi default nginx tidak memiliki header tersebut, sehingga ini jelas dikonfigurasi dengan sengaja

Tingkat bahaya: skenario pencurian kredensial

  • Pola ini dinilai sebagai serangan pencurian kredensial berbasis typo-squatting
  • Risikonya hanya muncul jika klien pengguna pernah memasukkan atau menyimpan kredensial untuk ghrc.io
  • Contoh situasi ketika kredensial nyata dapat terekspos
    • Menjalankan docker login ghrc.io
    • Saat menggunakan docker/login-action di GitHub Action dan registry disetel ke ghrc.io
    • Menyimpan kredensial registry untuk ghrc.io di secret Kubernetes lalu mencoba melakukan image pull
  • Jika hanya mencoba push/pull image ke ghrc.io, informasi autentikasi tidak akan terekspos (setelah percobaan token anonim, server mengembalikan error)

Langkah penanganan

  • Jika pernah tanpa sengaja login ke ghrc.io, segera ganti kata sandi dan cabut PAT (personal access token) yang digunakan
  • Wajib memeriksa login tidak wajar atau aktivitas berbahaya di akun GitHub
  • Penyerang dapat memanfaatkan ini untuk menambahkan image berbahaya ke repository di ghcr.io atau memperoleh akses ke akun

Kesimpulan

  • Perlu waspada terhadap situs phishing yang memakai alamat mirip dengan ghcr.io
  • Diperlukan kebijakan yang lebih ketat dalam pengelolaan informasi keamanan seperti kredensial, token, dan kata sandi

Bacaan terkait

Belum ada komentar.

Belum ada komentar.