GitHub, la plataforma más utilizada en el mundo para el desarrollo de software de código abierto, se enfrenta a un problema cada vez mayor: el uso indebido de su sistema estelar. Diseñadas para señalar popularidad y calidad, estas estrellas ahora están siendo explotadas para inflar artificialmente la reputación de los repositorios, muchos de los cuales albergan malware o participan en otras actividades maliciosas.
Investigadores de la Universidad Carnegie Mellon, Socket y North La Universidad Estatal de Carolina realizó un estudio exponiendo la escala y las implicaciones de este comportamiento fraudulento. (vía Bleepingcomputer)
Identificaron más de 4,5 millones de estrellas falsas asociadas con 15.835 repositorios entre 2019 y 2024, lo que arroja luz sobre una tendencia alarmante que socava la confianza en la plataforma y pone en peligro el ecosistema de código abierto.
Relacionado: Comentarios de GitHub utilizados para difundir el robo de credenciales Lumma Malware
Implicaciones para desarrolladores y organizaciones
El uso indebido de las estrellas de GitHub tiene implicaciones importantes para los desarrolladores, las organizaciones y la cadena de suministro de software en general. Las estrellas se utilizan a menudo como heurística rápida para evaluar la calidad de un repositorio, especialmente por parte de desarrolladores que buscan componentes de código abierto para integrarlos en sus proyectos.
Sin embargo, como reveló el estudio, el 15,8% de los repositorios que recibieron 50 o más estrellas en julio de 2024 estaban vinculados a campañas de estrellas falsas. Esta distorsión socava la credibilidad del sistema estrella de GitHub y resalta los riesgos de depender de métricas únicas para la toma de decisiones.
El número de repositorios con campañas estrella falsas en cada mes, en comparación con la cantidad de todos los repositorios de GitHub que recibieron ≥50 estrellas en ese mes. (Fuente: Estudio)
Los investigadores enfatizaron la importancia de un enfoque más holístico para evaluar los repositorios. Afirmaron: “El recuento de estrellas es una señal de calidad poco confiable y no debe usarse para decisiones de alto riesgo, al menos no por sí solo. Es vital evaluar otras señales para evitar sobrestimar la popularidad o la reputación, lo que puede generar riesgos de seguridad”.
Animan a los desarrolladores y organizaciones a mirar más allá del recuento de estrellas y evaluar factores adicionales, como la documentación y las solicitudes de extracción. y la actividad de contribuyentes acreditados, para tomar decisiones informadas.
Relacionado: Más de 3000 cuentas de GitHub utilizadas en la campaña de malware de Stargazer Goblin
Los riesgos de seguridad de las estrellas falsas
Uno de los aspectos más preocupantes de las campañas de estrellas falsas es su conexión con la distribución de malware. Muchos repositorios señalados eran proyectos de corta duración disfrazados de software pirateado. , trucos de juegos o bots de criptomonedas.
Estos repositorios a menudo contenían malware oculto diseñado para robar datos confidenciales o criptomonedas de usuarios desprevenidos. Los investigadores explicaron: “Estas campañas con frecuencia promueven campañas de corta duración. repositorios de malware de phishing que se disfrazan de software pirateado u otras herramientas atractivas para atraer a usuarios desprevenidos”.
Los hallazgos resaltan vulnerabilidades en los sistemas de moderación y métricas de GitHub. Si bien GitHub ha actuado para eliminar muchos repositorios marcados, la plataforma enfrenta desafíos importantes al vincular cuentas maliciosas con sus actividades.
Los investigadores sugirieron que GitHub implemente métricas ponderadas que consideren la reputación del usuario y los patrones de actividad, reduciendo el impacto de las interacciones fraudulentas. También recomendaron una mayor transparencia y colaboración con la comunidad de código abierto para desarrollar herramientas y pautas para identificar actividades fraudulentas.
Relacionado: Microsoft lucha contra los problemas de ciberseguridad en GitHub con soluciones de inteligencia artificial p>
StarScout: una herramienta para identificar estrellas falsas
Para abordar esta creciente amenaza, el equipo de investigación desarrolló y lanzó StarScout, una herramienta de detección avanzada que opera a escala para descubrir estrellas de GitHub sospechosas.
StarScout utiliza un marco basado en Python que requiere Python 3.12 y ha sido probado en Ubuntu 22.04. Emplea dos heurísticas de detección principales: la heurística de baja actividad y la heurística de agrupamiento.
Estas técnicas identifican patrones de actividad fraudulenta, como cuentas que interactúan mínimamente con GitHub más allá de los repositorios destacados o grupos coordinados de cuentas que actúan en conjunto para inflar las métricas.
Configurar StarScout implica crear un entorno Python y configurar varias credenciales, incluidos MongoDB, Google Cloud y tokens API de GitHub. La herramienta está diseñada para investigadores y analistas familiarizados con el procesamiento de datos a gran escala, ya que ejecutar los scripts de detección implica leer más de 20 terabytes de datos.
Como lo describen los investigadores, “las consultas de BigQuery no tardarán más de unos minutos, pero el script también buscará la API de GitHub para recopilar cierta información. Espere que sea más lento y genere muchos mensajes de error (porque muchos de los repositorios de estrellas falsas se han eliminado)”.
Detección de campañas de estrellas falsas: el proceso
El flujo de trabajo de StarScout comienza con la ejecución de la heurística de baja actividad, que analiza los datos de GitHub de períodos de tiempo específicos e identifica anomalías indicativas de estrellas falsas. Los resultados se almacenan en MongoDB y se exportan a archivos CSV locales.
A este paso le sigue la heurística de agrupación, que utiliza el algoritmo CopyCatch para detectar actividades coordinadas en intervalos de seis meses. Debido a la complejidad de estas operaciones, la heurística de agrupación puede tardar hasta una semana en procesarse. datos, que consumen más de 40 terabytes de almacenamiento. Una vez completados, los resultados se exportan y se agregan en un conjunto de datos de estrellas sospechosas de ser falsas.
El conjunto de datos se actualiza trimestralmente y refleja los hallazgos más recientes de la investigación. En particular, los investigadores advierten que el conjunto de datos contiene casos sospechosos y puede incluir falsos positivos.
Explicaron: “Los repositorios y usuarios individuales de nuestro conjunto de datos pueden ser falsos positivos. El objetivo principal de nuestro conjunto de datos es realizar análisis estadísticos (que toleran los ruidos razonablemente bien), no avergonzar públicamente a los repositorios individuales”. Las consideraciones éticas son un componente crítico de este trabajo, ya que la investigación apunta a resaltar tendencias más amplias en lugar de apuntar a proyectos o proyectos específicos. desarrolladores.
El papel de StarScout en la configuración del futuro
El desarrollo de StarScout representa un avance significativo en la lucha contra las actividades fraudulentas en GitHub al aprovechar técnicas basadas en datos, la herramienta proporciona una solución escalable para identificar campañas de estrellas falsas.
Los investigadores explicaron: “StarScout demuestra cómo se pueden utilizar herramientas basadas en datos para identificar y mitigar actividades fraudulentas. plataformas en línea. Nuestros hallazgos subrayan la importancia de desarrollar soluciones escalables para proteger a los usuarios y mantener la confianza en el ecosistema de software”. A medida que GitHub siga creciendo, herramientas como StarScout serán esenciales para abordar las amenazas emergentes y garantizar la sostenibilidad de la plataforma.
Un llamado a fortalecer la integridad del código abierto
Los hallazgos de este estudio resaltan la necesidad urgente de un cambio sistémico dentro de la comunidad de código abierto. A medida que la dependencia de los componentes de código abierto continúa creciendo, garantizar su seguridad y confiabilidad es primordial. Al priorizar la transparencia, la responsabilidad y las métricas sólidas, la comunidad de código abierto puede construir un ecosistema más resiliente que beneficie a los desarrolladores, las empresas y los usuarios por igual.
Si bien los desafíos que plantean las campañas de estrellas falsas son importantes, también También presentan una oportunidad para fortalecer las bases del desarrollo de código abierto. Al trabajar juntos, los proveedores de plataformas, los desarrolladores y las organizaciones pueden abordar estas amenazas y garantizar que GitHub siga siendo un recurso confiable para la innovación y la colaboración.
