GitHub, die weltweit am häufigsten genutzte Plattform für die Entwicklung von Open-Source-Software, steht vor einem eskalierenden Problem: dem Missbrauch seines Starsystems. Diese Sterne sollen Beliebtheit und Qualität signalisieren und werden nun ausgenutzt, um den Ruf von Repositories künstlich aufzublähen, von denen viele Malware beherbergen oder andere böswillige Aktivitäten durchführen.
Forscher der Carnegie Mellon University, Socket und North Die Carolina State University führte eine Studie durch, die das Ausmaß und die Auswirkungen dieses betrügerischen Verhaltens aufdeckte. (über Bleepingcomputer)
Sie identifizierten zwischen 2019 und 2024 über 4,5 Millionen gefälschte Sterne, die mit 15.835 Repositorien in Verbindung stehen, und brachten Licht auf eine alarmierender Trend, der das Vertrauen in die Plattform untergräbt und das Open-Source-Ökosystem gefährdet.
Verwandt: GitHub-Kommentare werden zur Verbreitung von Lumma verwendet, das Anmeldeinformationen stiehlt Malware
Auswirkungen für Entwickler und Organisationen
Der Missbrauch von GitHub-Stars hat erhebliche Auswirkungen für Entwickler, Organisationen und die breitere Software-Lieferkette. Sterne werden oft als schnelle Heuristik zur Bewertung der Qualität eines Repositorys verwendet, insbesondere von Entwicklern, die nach Open-Source-Komponenten suchen, die sie in ihre Projekte integrieren können.
Wie die Studie jedoch ergab, standen 15,8 % der Repositories, die im Juli 2024 50 oder mehr Sterne erhielten, mit Fake-Star-Kampagnen in Verbindung. Diese Verzerrung untergräbt die Glaubwürdigkeit des GitHub-Sternesystems und verdeutlicht die Risiken, sich bei der Entscheidungsfindung auf einzelne Metriken zu verlassen.
Die Anzahl der Repositories mit Fake-Star-Kampagnen in jedem Monat, verglichen mit der Anzahl aller GitHub-Repositories, die in diesem Monat ≥50 Sterne erhalten haben. (Quelle: Studie)
Die Forscher betonten die Bedeutung eines ganzheitlicheren Ansatzes zur Bewertung von Repositorien. Sie erklärten: „Die Anzahl der Sterne ist ein unzuverlässiges Qualitätssignal und sollte nicht für Entscheidungen mit hohem Risiko herangezogen werden, zumindest nicht allein.“ Es ist wichtig, andere Signale zu bewerten, um eine Überschätzung der Popularität oder des Rufs zu vermeiden, die zu Sicherheitsrisiken führen kann.“
Sie ermutigen Entwickler und Organisationen, über die Anzahl der Sterne hinauszuschauen und zusätzliche Faktoren wie Dokumentation und Pull-Anfragen zu bewerten und die Aktivität seriöser Mitwirkender, um fundierte Entscheidungen zu treffen.
Verwandt: Über 3.000 GitHub-Konten werden in der Malware-Kampagne von Stargazer Goblin verwendet
Die Sicherheitsrisiken von Fake Stars
Einer der besorgniserregendsten Aspekte von Fake-Star-Kampagnen ist ihr Zusammenhang mit der Verbreitung von Malware. Viele gekennzeichnete Repositories waren kurzlebige Projekte, die sich als Raubkopien tarnten , Spiele-Cheats oder Kryptowährungs-Bots
Diese Repositories enthielten oft versteckte Malware, die darauf abzielte, sensible Daten oder Kryptowährungen von ahnungslosen Benutzern zu stehlen kurzlebige Phishing-Malware-Repositories, die sich als Raubkopien oder andere attraktive Tools tarnen, um ahnungslose Benutzer anzulocken.“
Die Ergebnisse verdeutlichen Schwachstellen in den Metriken und Moderationssystemen von GitHub. Während GitHub Maßnahmen ergriffen hat, um viele gemeldete Repositories zu entfernen, steht die Plattform vor großen Herausforderungen, wenn es darum geht, bösartige Konten mit ihren Aktivitäten zu verknüpfen.
Die Forscher schlugen vor, dass GitHub gewichtete Metriken implementiert, die die Reputation und Aktivitätsmuster der Benutzer berücksichtigen und so die Auswirkungen betrügerischer Interaktionen reduzieren. Sie empfahlen außerdem mehr Transparenz und Zusammenarbeit mit der Open-Source-Community, um Tools und Richtlinien zur Identifizierung betrügerischer Aktivitäten zu entwickeln.
Verwandt: Microsoft bekämpft Cybersicherheitsprobleme auf GitHub mit KI-Lösungen
StarScout: Ein Tool zur Identifizierung gefälschter Sterne
Um dieser wachsenden Bedrohung zu begegnen, hat das Forschungsteam entwickelte und veröffentlichte StarScout, ein fortschrittliches Erkennungstool, das in großem Maßstab arbeitet, um verdächtige GitHub-Stars aufzudecken.
StarScout verwendet ein Python-basiertes Framework, das Python 3.12 erfordert und wurde auf Ubuntu 22.04 getestet. Es verwendet zwei primäre Erkennungsheuristiken: die Low-Activity-Heuristik und die Clustering-Heuristik.
Diese Techniken identifizieren Muster betrügerischer Aktivitäten, wie zum Beispiel Konten, die nur minimal mit GitHub interagieren, über das Markieren von Repositories hinaus, oder koordinierte Gruppen von Konten, die gemeinsam agieren, um Metriken zu erhöhen.
Das Einrichten von StarScout erfordert das Erstellen eine Python-Umgebung und die Konfiguration verschiedener Anmeldeinformationen, einschließlich MongoDB-, Google Cloud-und GitHub-API-Tokens. Das Tool richtet sich an Forscher und Analysten, die mit der Verarbeitung umfangreicher Daten vertraut sind, da die Ausführung der Erkennungsskripte das Lesen von über 20 Terabyte an Daten erfordert.
Wie von den Forschern beschrieben, „dauern die BigQuery-Abfragen nicht länger als ein paar Minuten, aber das Skript ruft auch die GitHub-API ab, um bestimmte Informationen zu sammeln.“ Erwarten Sie, dass es langsamer ist und viele Fehlermeldungen ausgibt (da viele der Fake-Star-Repositorys gelöscht wurden).“
Erkennen von Fake-Star-Kampagnen: Der Prozess
Der Workflow von StarScout beginnt mit der Ausführung der Low-Activity-Heuristik, die GitHub-Daten aus bestimmten Zeiträumen analysiert und Anomalien identifiziert, die auf gefälschte Sterne hinweisen. Die Ergebnisse werden in MongoDB gespeichert und lokal exportiert CSV-Dateien
Auf diesen Schritt folgt die Clustering-Heuristik, die den CopyCatch-Algorithmus verwendet, um koordinierte Aktivitäten über sechsmonatige Intervalle hinweg zu erkennen Die Verarbeitung der Daten dauert eine Woche und verbraucht über 40 Terabyte Speicherplatz. Sobald die Ergebnisse abgeschlossen sind, werden sie exportiert und in einem Datensatz mit mutmaßlichen gefälschten Sternen zusammengefasst.
Der Datensatz wird vierteljährlich aktualisiert und spiegelt die meisten wider Aktuelle Erkenntnisse des Forschungsteams weisen insbesondere darauf hin, dass der Datensatz Verdachtsfälle enthält und möglicherweise falsch positive Ergebnisse enthält.
Sie erklärten: „Die einzelnen Repositorien und Benutzer in unserem Datensatz könnten falsch positive Ergebnisse enthalten. Der Hauptzweck unseres Datensatzes ist für statistische Analysen (die Geräusche einigermaßen gut tolerieren) und nicht für die öffentliche Beschämung einzelner Repositorien.“ Entwickler.
Die Rolle von StarScout bei der Gestaltung der Zukunft
Die Entwicklung von StarScout stellt einen bedeutenden Fortschritt im Kampf gegen betrügerische Aktivitäten dar GitHub. Durch die Nutzung datengesteuerter Techniken bietet das Tool eine skalierbare Lösung zur Identifizierung gefälschter Star-Kampagnen.
Die Forscher erklären: „StarScout zeigt, wie datengesteuerte Tools zur Identifizierung und Eindämmung betrügerischer Aktivitäten eingesetzt werden können.“ „Unsere Ergebnisse unterstreichen, wie wichtig es ist, skalierbare Lösungen zu entwickeln, um Benutzer zu schützen und das Vertrauen in das Software-Ökosystem aufrechtzuerhalten.“ Während GitHub weiter wächst, werden Tools wie StarScout von entscheidender Bedeutung sein, um aufkommende Bedrohungen zu bekämpfen und die Nachhaltigkeit der Plattform sicherzustellen.
Ein Aufruf zur Stärkung der Open-Source-Integrität
Die Ergebnisse dieser Studie unterstreichen die dringende Notwendigkeit eines systemischen Wandels innerhalb der Open-Source-Community. Da die Abhängigkeit von Open-Source-Komponenten immer weiter zunimmt, ist die Gewährleistung ihrer Sicherheit und Zuverlässigkeit von größter Bedeutung. Durch die Priorisierung von Transparenz, Verantwortlichkeit und robusten Kennzahlen kann die Open-Source-Community ein widerstandsfähigeres Ökosystem aufbauen, das Entwicklern, Unternehmen und Benutzern gleichermaßen zugute kommt.
Auch wenn die Herausforderungen, die Fake-Star-Kampagnen mit sich bringen, erheblich sind, sind sie es doch stellen auch eine Gelegenheit dar, das Fundament der Open-Source-Entwicklung zu stärken. Durch die Zusammenarbeit können Plattformanbieter, Entwickler und Organisationen diesen Bedrohungen begegnen und sicherstellen, dass GitHub eine vertrauenswürdige Ressource für Innovation und Zusammenarbeit bleibt.
