Το GitHub, η πιο ευρέως χρησιμοποιούμενη πλατφόρμα στον κόσμο για ανάπτυξη λογισμικού ανοιχτού κώδικα, αντιμετωπίζει ένα κλιμακούμενο πρόβλημα: την κακή χρήση του αστεριού του συστήματος. Σχεδιασμένα για να σηματοδοτούν τη δημοτικότητα και την ποιότητα, αυτά τα αστέρια αξιοποιούνται τώρα για να διογκώσουν τεχνητά τη φήμη των αποθετηρίων, πολλά από τα οποία φιλοξενούν κακόβουλο λογισμικό ή εμπλέκονται σε άλλες κακόβουλες δραστηριότητες.
Ερευνητές από το Carnegie Mellon University, το Socket και το North. Το Carolina State University διεξήγαγε μια μελέτη που αποκαλύπτει την κλίμακα και τις συνέπειες αυτής της δόλιας συμπεριφοράς. (μέσω Bleepingcomputer)
Εντόπισαν πάνω από 4,5 εκατομμύρια ψεύτικα αστέρια που σχετίζονται με 15.835 αποθετήρια μεταξύ 2019 και Το 2024, ρίχνει φως σε μια ανησυχητική τάση που υπονομεύει την εμπιστοσύνη στην πλατφόρμα και θέτει σε κίνδυνο το οικοσύστημα ανοιχτού κώδικα.
Σχετικά: Σχόλια GitHub που χρησιμοποιούνται για τη διάδοση κακόβουλου λογισμικού Lumma που κλέβει διαπιστευτήρια
Επιπτώσεις για προγραμματιστές και οργανισμούς
Η κακή χρήση του GitHub stars έχει σημαντικές επιπτώσεις για προγραμματιστές, οργανισμούς και την ευρύτερη αλυσίδα εφοδιασμού λογισμικού. Τα αστέρια χρησιμοποιούνται συχνά ως ένα γρήγορο ευρετικό για την αξιολόγηση της ποιότητας ενός αποθετηρίου, ιδιαίτερα από προγραμματιστές που αναζητούν στοιχεία ανοιχτού κώδικα για να ενσωματωθούν στα έργα τους.
Ωστόσο, όπως αποκάλυψε η μελέτη, το 15,8% των αποθετηρίων που έλαβαν 50 ή περισσότερα αστέρια τον Ιούλιο του 2024 συνδέθηκαν με ψεύτικες καμπάνιες αστέρων. Αυτή η παραμόρφωση υπονομεύει την αξιοπιστία του αστρικού συστήματος του GitHub και υπογραμμίζει τους κινδύνους από τη χρήση μεμονωμένων μετρήσεων για τη λήψη αποφάσεων.
Ο αριθμός των αποθετηρίων με καμπάνιες ψεύτικων αστέρων σε κάθε μήνα, σε σύγκριση με τον αριθμό όλων των αποθετηρίων GitHub που έλαβαν ≥50 αστέρια εκείνο το μήνα. (Πηγή: Μελέτη)
Οι ερευνητές τόνισαν τη σημασία μιας πιο ολιστικής προσέγγισης για την αξιολόγηση των αποθετηρίων. Δήλωσαν, «Το πλήθος των αστεριών είναι ένα αναξιόπιστο σήμα ποιότητας και δεν πρέπει να χρησιμοποιείται για αποφάσεις υψηλού πονταρίσματος, τουλάχιστον όχι από μόνο του. Είναι ζωτικής σημασίας να αξιολογηθούν άλλα σήματα για να αποφευχθεί η υπερεκτίμηση της δημοτικότητας ή της φήμης, που μπορεί να οδηγήσει σε κινδύνους για την ασφάλεια.”
Ενθαρρύνουν τους προγραμματιστές και τους οργανισμούς να κοιτάξουν πέρα από τις μετρήσεις αστεριών και να αξιολογήσουν πρόσθετους παράγοντες, όπως τεκμηρίωση, αιτήματα έλξης , και τη δραστηριότητα αξιόπιστων συνεργατών, για τη λήψη τεκμηριωμένων αποφάσεων.
Σχετικά: Χρησιμοποιήθηκαν περισσότεροι από 3.000 λογαριασμοί GitHub. στην καμπάνια του Stargazer Goblin’s Malware
Οι κίνδυνοι για την ασφάλεια των Fake Stars
Μία από τις πιο ανησυχητικές πτυχές των καμπανιών fake star είναι η σύνδεσή τους με τη διανομή κακόβουλου λογισμικού Τα επισημασμένα αποθετήρια ήταν βραχύβια έργα που μεταμφιέζονταν σε πειρατικό λογισμικό, απατεώνες παιχνιδιών ή ρομπότ κρυπτονομισμάτων
Αυτά Τα αποθετήρια συχνά περιείχαν κρυφό κακόβουλο λογισμικό που έχει σχεδιαστεί για να κλέβει ευαίσθητα δεδομένα ή κρυπτονομίσματα από ανυποψίαστους χρήστες. >
Τα ευρήματα υπογραμμίζουν τις ευπάθειες στις μετρήσεις και την εποπτεία του GitHub συστήματα. Ενώ το GitHub έχει ενεργήσει για την αφαίρεση πολλών επισημασμένων αποθετηρίων, η πλατφόρμα αντιμετωπίζει σημαντικές προκλήσεις όσον αφορά τη σύνδεση κακόβουλων λογαριασμών με τις δραστηριότητές της.
Οι ερευνητές πρότειναν στο GitHub να εφαρμόσει σταθμισμένες μετρήσεις που λαμβάνουν υπόψη τη φήμη των χρηστών και τα μοτίβα δραστηριότητας, μειώνοντας τον αντίκτυπο των δόλιων αλληλεπιδράσεων. Συνέστησαν επίσης μεγαλύτερη διαφάνεια και συνεργασία με την κοινότητα ανοιχτού κώδικα για την ανάπτυξη εργαλείων και κατευθυντήριων γραμμών για τον εντοπισμό δόλιων δραστηριοτήτων.
Σχετικά: Microsoft Battles Cybersecurity Issues στο GitHub με Λύσεις AI
Σχετικά: p>
StarScout: Ένα εργαλείο για τον εντοπισμό ψεύτικων αστεριών
Για να αντιμετωπιστεί αυτό αυξανόμενη απειλή, η ερευνητική ομάδα ανέπτυξε και κυκλοφόρησε το StarScout, ένα προηγμένο εργαλείο ανίχνευσης που λειτουργεί σε κλίμακα έως αποκαλύψτε ύποπτα αστέρια του GitHub.
Το StarScout χρησιμοποιεί ένα πλαίσιο βασισμένο σε Python που απαιτεί Python 3.12 και έχει δοκιμαστεί στο Ubuntu 22.04. Χρησιμοποιεί δύο κύρια ευρετικά ανίχνευσης: την ευρετική χαμηλής δραστηριότητας και την ευρετική ομαδοποίησης.
Αυτές οι τεχνικές προσδιορίζουν μοτίβα δόλιας δραστηριότητας, όπως λογαριασμοί που αλληλεπιδρούν ελάχιστα με το GitHub πέρα από την επισήμανση αποθετηρίων με αστέρι ή συντονισμένων ομάδων λογαριασμών που ενεργούν από κοινού για να διογκώσουν τις μετρήσεις.
Η ρύθμιση του StarScout περιλαμβάνει τη δημιουργία του StarScout. περιβάλλον Python και ρύθμιση παραμέτρων διαφόρων διαπιστευτηρίων, συμπεριλαμβανομένων των MongoDB, του Google Cloud και των διακριτικών API GitHub. Το εργαλείο έχει σχεδιαστεί για ερευνητές και αναλυτές που είναι εξοικειωμένοι με την επεξεργασία δεδομένων μεγάλης κλίμακας, καθώς η εκτέλεση των σεναρίων ανίχνευσης περιλαμβάνει ανάγνωση πάνω από 20 terabyte δεδομένων.
Όπως περιγράφεται από τους ερευνητές, «τα ερωτήματα του BigQuery δεν θα διαρκέσουν περισσότερα από λίγα λεπτά, αλλά το σενάριο θα ανακτήσει επίσης το GitHub API για τη συλλογή συγκεκριμένων πληροφοριών. Αναμένετε ότι θα είναι πιο αργό και θα βγάζει πολλά μηνύματα σφάλματος (επειδή πολλά από τα αποθετήρια ψεύτικων αστεριών έχουν διαγραφεί). >
Η ροή εργασίας του StarScout ξεκινά με την εκτέλεση της ευρετικής χαμηλής δραστηριότητας, η οποία αναλύει δεδομένα GitHub από καθορισμένα χρονικά πλαίσια και προσδιορίζει ανωμαλίες ενδεικτικές πλαστών αστεριών Τα αποτελέσματα αποθηκεύονται στο MongoDB και εξάγονται σε τοπικά αρχεία CSV
Αυτό το βήμα ακολουθείται από την ευρετική ομαδοποίηση, η οποία χρησιμοποιεί τον αλγόριθμο CopyCatch για τον εντοπισμό συντονισμένων δραστηριοτήτων σε διαστήματα έξι μηνών. Λόγω της πολυπλοκότητας αυτών των λειτουργιών, η ευρετική ομαδοποίηση μπορεί να διαρκέσει έως και μία εβδομάδα για την επεξεργασία δεδομένων, καταναλώνοντας πάνω από 40 Μόλις ολοκληρωθούν, τα αποτελέσματα εξάγονται και συγκεντρώνονται σε ένα σύνολο δεδομένων με ύποπτα ψεύτικα αστέρια.
Το σύνολο δεδομένων ενημερώνεται ανά τρίμηνο, αντικατοπτρίζοντας τα πιο πρόσφατα ευρήματα της ερευνητικής ομάδας το σύνολο δεδομένων περιέχει ύποπτες περιπτώσεις και μπορεί να περιλαμβάνει ψευδώς θετικά στοιχεία.
Εξήγησαν,”Τα μεμονωμένα αποθετήρια και οι χρήστες στο σύνολο δεδομένων μας μπορεί να είναι ψευδώς θετικά. Ο κύριος σκοπός του συνόλου δεδομένων μας είναι για στατιστικές αναλύσεις (που ανέχονται εύλογα καλά τους θορύβους), όχι για δημόσια ντροπή μεμονωμένων αποθετηρίων.”Οι ηθικοί προβληματισμοί αποτελούν κρίσιμο στοιχείο αυτής της εργασίας, καθώς η έρευνα στοχεύει να επισημάνει ευρύτερες τάσεις αντί να στοχεύει συγκεκριμένα έργα ή προγραμματιστές.
Ο ρόλος του StarScout στη διαμόρφωση του μέλλοντος
Η ανάπτυξη του Το StarScout αντιπροσωπεύει μια σημαντική πρόοδο στην καταπολέμηση των απατηλών δραστηριοτήτων στο GitHub Με τη μόχλευση των τεχνικών που βασίζονται σε δεδομένα, το εργαλείο παρέχει μια επεκτάσιμη λύση για τον εντοπισμό ψεύτικων καμπανιών με αστέρια
Οι ερευνητές εξήγησαν, «Το StarScout δείχνει πώς τα δεδομένα. Τα βασικά εργαλεία μπορούν να χρησιμοποιηθούν για τον εντοπισμό και τον μετριασμό των δόλιων δραστηριοτήτων σε διαδικτυακές πλατφόρμες επεκτάσιμες λύσεις για την προστασία των χρηστών και τη διατήρηση της εμπιστοσύνης στο οικοσύστημα λογισμικού.”Καθώς το GitHub συνεχίζει να αναπτύσσεται, εργαλεία όπως το StarScout θα είναι απαραίτητα για την αντιμετώπιση αναδυόμενων απειλών και τη διασφάλιση της βιωσιμότητας της πλατφόρμας.
Ένα κάλεσμα για την ενίσχυση της ακεραιότητας ανοιχτού κώδικα
Τα ευρήματα αυτής της μελέτης υπογραμμίζουν την επείγουσα ανάγκη για συστημική αλλαγή στην κοινότητα ανοιχτού κώδικα. Καθώς η εξάρτηση από στοιχεία ανοιχτού κώδικα συνεχίζει να αυξάνεται, η διασφάλιση της ασφάλειας και της αξιοπιστίας τους είναι πρωταρχικής σημασίας. Δίνοντας προτεραιότητα στη διαφάνεια, τη λογοδοσία και τις ισχυρές μετρήσεις, η κοινότητα ανοιχτού κώδικα μπορεί να οικοδομήσει ένα πιο ανθεκτικό οικοσύστημα που ωφελεί τους προγραμματιστές, τις επιχειρήσεις και τους χρήστες.
Ενώ οι προκλήσεις που τίθενται από τις καμπάνιες ψεύτικων αστέρων είναι σημαντικές, παρουσιάζουν επίσης μια ευκαιρία να ενισχυθεί η βάση της ανάπτυξης ανοιχτού κώδικα. Συνεργαζόμενοι από κοινού, οι πάροχοι πλατφορμών, οι προγραμματιστές και οι οργανισμοί μπορούν να αντιμετωπίσουν αυτές τις απειλές και να διασφαλίσουν ότι το GitHub παραμένει ένας αξιόπιστος πόρος για καινοτομία και συνεργασία.
