GitHub 是世界上使用最廣泛的開源軟體開發平台,但它正面臨著一個不斷升級的問題:其明星系統被濫用。這些明星旨在表明受歡迎程度和質量,但現在卻被用來人為地抬高存儲庫的聲譽,其中許多存儲庫包含惡意軟體或參與其他惡意活動。梅隆大學、Socket 和North 的研究人員卡羅萊納州立大學進行了一項研究,揭露了這種欺詐行為的規模和影響。 (透過 Bleepingcomputer)
2019 年至2024 年間,他們發現了與15,835 個儲存庫相關的超過450 萬個假明星,揭示了一種令人震驚的趨勢,這種趨勢破壞了對平台的信任並危及開源生態系統。 >:用於傳播竊取憑證的Lumma 惡意軟體的GitHub 評論
對開發人員和組織的影響
濫用GitHub 星星對開發人員、組織和更廣泛的軟體供應鏈具有重大影響。星級通常被用作評估儲存庫品質的快速啟發式方法,特別是對於尋求開源元件整合到其專案中的開發人員。
然而,研究顯示,2024 年 7 月獲得 50 顆或更多星星的儲存庫中有 15.8% 與假星星活動有關。這種扭曲破壞了GitHub 明星系統的可信度,並凸顯了依賴單一指標進行決策的風險。/wp-content/uploads/2024/12/Number-of-GitHub-repositories-with-fake-star-campaigns-1024×519.jpg”>每個月有假明星活動的儲存庫數量,與所有 GitHub 數量相比當月獲得≥ 50 顆星的儲存庫。 (資料來源:研究)
研究人員強調了採用更全面的方法來評估儲存庫的重要性。他們表示:「星級數是一個不可靠的品質訊號,不應該用於高風險決策,至少不應該單獨使用。評估其他訊號至關重要,以避免高估受歡迎程度或聲譽,這可能會導致安全風險。拉取請求以及信譽良好的貢獻者的活動,以做出明智的決策。/p>
假明星的安全風險
假明星活動最令人擔憂的方面之一是它們與惡意軟體分發的聯繫。都是偽裝成盜版軟體、遊戲作弊軟體或遊戲作弊軟體的短期專案。
這些儲存庫通常包含隱藏的惡意軟體,旨在從毫無戒心的用戶那裡竊取敏感資料或加密貨幣,研究人員解釋說:「這些活動經常宣傳偽裝成盜版軟體或其他內容的短期網路釣魚惡意軟體儲存庫。吸引毫無戒心的用戶的工具。」
調查結果強調了GitHub 指標和審核系統中的漏洞。雖然 GitHub 已採取行動刪除許多標記的儲存庫,但該平台在將惡意帳戶與其活動相關聯方面面臨重大挑戰。
研究人員建議 GitHub 實施考慮使用者聲譽和活動模式的加權指標,減少欺詐性互動的影響。他們還建議提高透明度並與開源社群合作,開發用於識別詐欺活動的工具和指南。
相關 p>
StarScout:辨識假星星的工具
為了應對這一日益嚴重的威脅,研究團隊開發並發布了StarScout,這是一種高級檢測工具,可大規模運行以發現可疑的GitHub star。
StarScout 使用基於 Python 的框架,需要 Python 3.12,並已在 Ubuntu 22.04 上進行了測試。它採用兩種主要的檢測啟發式:低活動啟發式和聚類啟發式。
這些技術可以識別詐欺活動的模式,例如除了加註星標的儲存庫之外,與GitHub 接觸最少的帳戶或協同行動以誇大指標的協調帳戶群組。 >設定StarScout 涉及建立Python 環境並配置各種憑證,包括 MongoDB、Google Cloud 和 GitHub API 令牌。該工具專為熟悉大規模資料處理的研究人員和分析師而設計,因為執行偵測腳本需要讀取超過 20 TB 的資料。
正如研究人員所描述的,「BigQuery 查詢不會超過幾分鐘,但腳本也會取得 GitHub API 來收集某些資訊。預計它會變慢並輸出大量錯誤訊息(因為許多假明星儲存庫已被刪除)。 StarScout 的工作流程從運行低活動啟發式開始,它分析指定時間範圍內的GitHub 資料並識別指示假星星的異常,結果儲存在MongoDB 中並匯出到本機CSV 檔案。它使用CopyCatch 演算法來檢測六個月間隔內的協調活動。並彙總到疑似假恆星的資料集中。 ,並且可能包含誤報。我們資料集的主要目的是進行統計分析(可以很好地容忍噪音),而不是公開羞辱單一儲存庫。而非針對特定專案或
StarScout 在塑造未來中的作用
StarScout 的開發代表著在利用GitHub 打擊詐欺活動方面取得的重大進步。 。隨著GitHub 的不斷發展,像StarScout 這樣的工具對於解決新出現的威脅和確保平台的可持續性至關重要。 h3>
這項研究的結果凸顯了開源社群內部迫切需要進行系統性變革。隨著對開源元件的依賴不斷增長,確保其安全性和可靠性至關重要。透過優先考慮透明度、問責制和穩健的指標,開源社群可以建立一個更具彈性的生態系統,使開發者、企業和用戶都受益。是巨大的,但它們也提供了一個加強開源開發基礎的機會。透過共同努力,平台提供者、開發者和組織可以應對這些威脅,並確保 GitHub 仍然是值得信賴的創新和協作資源。
