GitHub, maailman laajimmin käytetty avoimen lähdekoodin ohjelmistokehitysalusta, kohtaa kärjistyvän ongelman: sen tähtijärjestelmän väärinkäytön. Näitä tähtiä, jotka on suunniteltu ilmaisemaan suosiota ja laatua, käytetään nyt keinotekoisesti kasvattamaan tietovarastojen mainetta, joista monet sisältävät haittaohjelmia tai osallistuvat muuhun haitalliseen toimintaan.
Tutkijat Carnegie Mellon Universitystä, Socketista ja Northista. Carolina State University suoritti tutkimuksen, joka paljastaa tämän petollisen toiminnan laajuudesta ja seurauksista. (Bleepingcomputerin kautta)
He tunnistivat yli 4,5 miljoonaa väärennettyä tähteä, jotka liittyivät 15 835 tietovarastoon vuoden 2019 ja 2019 välisenä aikana 2024, valaisee hälyttävää kehitystä, joka heikentää luottamusta alustaan ja vaarantaa avoimen lähdekoodin ekosysteemin.
Aiheeseen liittyvä: GitHub-kommentit, joita on käytetty tunnistetietoja varastavien Lumma-haittaohjelmien levittämiseen
Seuraukset kehittäjille ja organisaatioille
Väärinkäyttö GitHub-tähdillä on merkittäviä vaikutuksia kehittäjiin, organisaatioihin ja laajempaan ohjelmistojen toimitusketjuun. Tähtiä käytetään usein nopeana heuristina arkiston laadun arvioinnissa, erityisesti kehittäjät, jotka etsivät avoimen lähdekoodin komponentteja integroitaviksi projekteihinsa.
Kuten tutkimus kuitenkin paljasti, 15,8 % tietovarastoista, jotka saivat vähintään 50 tähteä heinäkuussa 2024, liittyi väärennettyihin tähtikampanjoihin. Tämä vääristymä heikentää GitHubin tähtijärjestelmän uskottavuutta ja korostaa riskejä, jotka liittyvät yksittäisiin mittareihin luottaen päätöksenteossa.
Vääreitä tähtikampanjoita sisältävien tietovarastojen määrä joka kuukausi verrattuna kaikkien GitHub-tietovarastojen määrään, jotka saivat ≥ 50 tähteä kyseisessä kuussa. (Lähde: Tutkimus)
Tutkijat korostivat kokonaisvaltaisemman lähestymistavan merkitystä arkistojen arvioinnissa. He totesivat:”Tähtien määrä on epäluotettava laatusignaali, eikä sitä tulisi käyttää suuriin panoksiin tehtyihin päätöksiin, ainakaan sellaisenaan. On elintärkeää arvioida muita signaaleja suosion tai maineen yliarvioimisen välttämiseksi, mikä voi johtaa turvallisuusriskeihin.”
Ne rohkaisevat kehittäjiä ja organisaatioita katsomaan tähtien määrää pidemmälle ja arvioimaan lisätekijöitä, kuten dokumentaatiota, vetopyyntöjä. ja hyvämaineisten avustajien toimintaa, jotta he voivat tehdä tietoisia päätöksiä.
Aiheeseen liittyvä: Yli 3 000 GitHub-tiliä Stargazer Goblinin haittaohjelmakampanja
Fake Stars-turvariskit
Yksi väärennettyjen tähtikampanjoiden huolestuttavimpia puolia on niiden yhteys haittaohjelmien jakeluun arkistot olivat lyhytikäisiä projekteja, jotka naamioituivat piraattiohjelmistoiksi, pelihuijauksiksi tai kryptovaluuttabotiksi.
Nämä arkistot usein Se sisälsi piilotettuja haittaohjelmia, jotka oli suunniteltu varastamaan arkaluontoisia tietoja tai kryptovaluuttoja pahaa-aavistamattomilta käyttäjiltä. p>Löydökset korostavat GitHubin mittareiden ja valvontajärjestelmien haavoittuvuuksia. Vaikka GitHub on poistanut monia merkittyjä tietovarastoja, alustalla on merkittäviä haasteita haitallisten tilien linkittämisessä niiden toimintaan.
Tutkijat ehdottivat, että GitHub ottaa käyttöön painotettuja mittareita, jotka huomioivat käyttäjien maineen ja toimintamallit, mikä vähentää vilpillisten vuorovaikutusten vaikutusta. He suosittelivat myös suurempaa avoimuutta ja yhteistyötä avoimen lähdekoodin yhteisön kanssa, jotta voidaan kehittää työkaluja ja ohjeita petollisten toimintojen tunnistamiseen.
Aiheeseen liittyvä: Microsoft taistelee GitHubin kyberturvallisuusongelmia tekoälyratkaisujen avulla
p>
StarScout: työkalu valetähtien tunnistamiseen
Tämän kasvavan uhan torjumiseksi tutkimusryhmä kehitti ja julkaisi StarScout, edistyneen tunnistustyökalun, joka toimii laajassa mittakaavassa paljastaakseen epäilyttävät GitHub-tähdet.
StarScout käyttää Python-pohjaista kehystä, joka vaatii Python 3.12:n ja on testattu Ubuntu 22.04:ssä. Se käyttää kahta ensisijaista tunnistusheuristiikkaa: alhaisen aktiivisuuden heuristiikkaa ja klusterointiheuristiikkaa.
Nämä tekniikat tunnistavat petollisen toiminnan malleja, kuten tilejä, jotka ovat minimaalisesti yhteydessä GitHubiin tähtitietovarastojen tai koordinoitujen tiliryhmien lisäksi, jotka toimivat yhdessä kasvattaakseen mittareita.
StarScoutin käyttöönotto edellyttää luomista. Python-ympäristössä ja erilaisten tunnistetietojen, mukaan lukien MongoDB-, Google Cloud-ja GitHub API-tunnukset, määrittäminen. Työkalu on suunniteltu laajamittaiseen tiedonkäsittelyyn perehtyneille tutkijoille ja analyytikoille, sillä tunnistusskriptien suorittaminen vaatii yli 20 teratavun datan lukemista.
Kuten tutkijat ovat kuvanneet,”BigQuery-kyselyt eivät vie muutamaa minuuttia kauempaa, mutta komentosarja hakee myös GitHub-sovellusliittymän kerätäkseen tiettyjä tietoja. Odottaa sen olevan hitaampi ja lähettää paljon virheilmoituksia (koska monet väärennetyt tähtivarastot on poistettu).”
Väärennettyjen tähtikampanjoiden havaitseminen: prosessi
StarScoutin työnkulku alkaa vähäaktiivisen heuristiikan suorittamisella, joka analysoi GitHub-dataa määrätyiltä aikajaksoilta ja tunnistaa poikkeamat osoittavat vääriä tähtiä. Tulokset tallennetaan MongoDB:hen ja viedään paikallisiin CSV-tiedostoihin.
Tätä vaihetta seuraa klusterointi, joka käyttää CopyCatch-algoritmia koordinoitujen toimintojen havaitsemiseen kuuden kuukauden välein Näiden toimintojen monimutkaisuuden vuoksi klusterointiheuristiikka voi kestää jopa viikon tietojen käsittelyssä, mikä kuluttaa yli 40 teratavua tallennustilaa Valmis, tulokset viedään ja kootaan tietojoukoksi epäillyistä vääristä tähdistä.
Tietosarja päivitetään neljännesvuosittain, mikä heijastaa tutkimusryhmän viimeisimmät havainnot. Tutkijat varoittavat erityisesti, että tietojoukko sisältää epäiltyjä tapauksia ja voi sisältää vääriä positiivisia tuloksia.
He selittivät:”Tietojoukossamme olevat yksittäiset tietovarastot ja käyttäjät voivat olla vääriä positiivisia. Aineistomme päätarkoitus on tilastollisiin analyyseihin (joka sietää melua kohtuullisen hyvin), ei yksittäisten tietovarastojen julkiseen häpeämiseen.”Eettiset näkökohdat ovat kriittinen osa tätä työtä, sillä tutkimuksen tavoitteena on tuoda esiin laajempia trendejä sen sijaan, että se kohdistuisi tiettyihin projekteihin tai kehittäjät.
StarScoutin rooli tulevaisuuden muovaamisessa
StarScoutin kehitys on merkittävä edistys taistelussa petollisia toimia vastaan GitHubissa Hyödyntämällä tietopohjaisia tekniikoita, työkalu tarjoaa skaalautuvan ratkaisun väärennettyjen tähtikampanjoiden tunnistamiseen käytetään tunnistamaan ja lieventämään petollisia toimia online-alustoilla. Havaintomme korostavat skaalautuvien ratkaisujen kehittämisen merkitystä käyttäjien suojelemiseksi ja luottamuksen ylläpitämiseksi ohjelmistoekosysteemiin. GitHubin kasvun jatkuessa StarScoutin kaltaiset työkalut ovat välttämättömiä uusien uhkien torjunnassa ja alustan kestävyyden varmistamisessa.
Kutsu avoimen lähdekoodin eheyden vahvistamiseen
Tämän tutkimuksen tulokset korostavat systeemisen muutoksen kiireellistä tarvetta avoimen lähdekoodin yhteisössä. Koska riippuvuus avoimen lähdekoodin komponenteista kasvaa jatkuvasti, niiden turvallisuuden ja luotettavuuden varmistaminen on ensiarvoisen tärkeää. Priorisoimalla avoimuutta, vastuullisuutta ja vankkoja mittareita avoimen lähdekoodin yhteisö voi rakentaa kestävämmän ekosysteemin, joka hyödyttää niin kehittäjiä, yrityksiä kuin käyttäjiäkin.
Vaikka valetähtikampanjoiden asettamat haasteet ovat merkittäviä, ne tarjoaa myös mahdollisuuden vahvistaa avoimen lähdekoodin kehittämisen perustaa. Työskentelemällä yhdessä alustan tarjoajat, kehittäjät ja organisaatiot voivat puuttua näihin uhkiin ja varmistaa, että GitHub pysyy luotettavana innovaatio-ja yhteistyöresurssina.
