A GitHub, a nyílt forráskódú szoftverfejlesztés legszélesebb körben használt platformja a világon, egyre súlyosbodó problémával néz szembe: a csillagrendszerével való visszaélésekkel. A népszerűség és a minőség jelzésére tervezték ezeket a sztárokat, hogy mesterségesen növeljék a tárhelyek hírnevét, amelyek közül sok rosszindulatú programokat rejt magában, vagy más rosszindulatú tevékenységet folytat.
A Carnegie Mellon Egyetem, Socket és North kutatói A Carolina State University végzett egy tanulmányt, ennek a csalárd magatartásnak a mértékét és következményeit. (a Bleepingcomputeren keresztül)
2019 és 2019 között több mint 4,5 millió hamis csillagot azonosítottak 15 835 adattárral kapcsolatban 2024, rávilágít egy riasztó tendenciára, amely aláássa a platformba vetett bizalmat, és veszélyezteti a nyílt forráskódú ökoszisztémát.
Kapcsolódó: A hitelesítő adatokat ellopó Lumma malware terjesztésére használt GitHub-megjegyzések
Fejlesztőkre és szervezetekre gyakorolt következmények
A visszaélés A GitHub-csillagok jelentős következményekkel járnak a fejlesztők, a szervezetek és a szélesebb szoftverellátási lánc számára. A csillagokat gyakran használják gyors heurisztikaként egy adattár minőségének értékelésére, különösen azok a fejlesztők, akik nyílt forráskódú összetevőket keresnek a projektjeikbe integrálni.
Amint azonban a tanulmány feltárta, a 2024 júliusában 50 vagy annál több csillagot kapott adattárak 15,8%-a álsztárkampányokhoz kapcsolódott. Ez a torzulás aláássa a GitHub csillagrendszerének hitelességét, és rávilágít az egyetlen mérőszámra támaszkodó döntéshozatal kockázatára.
Az álsztárkampányokat tartalmazó adattárak száma minden hónapban, összehasonlítva azon GitHub-tárhelyek számával, amelyek 50-nél több csillagot kaptak abban a hónapban. (Forrás: Tanulmány)
A kutatók hangsúlyozták az adattárak értékelésének holisztikusabb megközelítésének fontosságát. Kijelentették: „A csillagok száma megbízhatatlan minőségi jelzés, és nem szabad nagy téttel bíró döntésekhez használni, legalábbis önmagában nem. Létfontosságú az egyéb jelzések értékelése, hogy elkerüljük a népszerűség vagy a hírnév túlbecsülését, ami biztonsági kockázatokhoz vezethet.”
Arra ösztönzik a fejlesztőket és a szervezeteket, hogy tekintsenek túl a csillagok számán, és értékeljenek további tényezőket, például a dokumentációt, a lehívási kérelmeket. , valamint a jó hírű közreműködők tevékenysége, hogy megalapozott döntéseket hozzanak.
Kapcsolódó: Több mint 3000 GitHub-fiók használt Stargazer Goblin malware-kampánya
Az álsztárok biztonsági kockázatai
A hamis sztárkampányok egyik leginkább aggasztó vonatkozása a rosszindulatú programok terjesztésével való kapcsolatuk Az adattárak rövid életű projektek voltak, amelyek kalózszoftvernek, játékcsalásnak vagy kriptovaluta robotnak álcázták magukat.
Ezek a tárolók gyakran rejtett rosszindulatú programokat tartalmazott, amelyek célja érzékeny adatok vagy kriptovaluták ellopása gyanútlan felhasználóktól A kutatók kifejtették: „Ezek a kampányok gyakran népszerűsítik a rövid életű adathalász kártevő-tárakat, amelyek kalózszoftvernek vagy más vonzó eszköznek álcázzák magukat, hogy elcsábítsák a gyanútlan felhasználókat.”
A megállapítások rávilágítanak a GitHub mérőszámainak és moderálási rendszereinek sebezhetőségeire. Míg a GitHub számos megjelölt adattárat eltávolított, a platform jelentős kihívásokkal néz szembe, amikor rosszindulatú fiókokat kapcsol össze tevékenységeikkel.
A kutatók azt javasolták, hogy a GitHub súlyozott mérőszámokat alkalmazzon, amelyek figyelembe veszik a felhasználók hírnevét és tevékenységi mintáit, csökkentve a csalárd interakciók hatását. Emellett nagyobb átláthatóságot és együttműködést javasoltak a nyílt forráskódú közösséggel, hogy eszközöket és irányelveket dolgozzanak ki a csaló tevékenységek azonosítására.
Kapcsolódó: A Microsoft mesterséges intelligencia megoldásokkal küzd a GitHubon kiberbiztonsági problémák ellen
p>
StarScout: Eszköz a hamis sztárok azonosítására
A növekvő fenyegetés kezelése érdekében a kutatócsoport kifejlesztett és kiadott StarScout, egy fejlett észlelőeszköz, amely nagy léptékben működik a gyanús GitHub-sztárok felderítésére.
A StarScout Python-alapú keretrendszert használ, amely Python 3.12-t igényel, és Ubuntu 22.04-en tesztelték. Két elsődleges észlelési heurisztikát alkalmaz: az alacsony aktivitású heurisztikát és a klaszterezési heurisztikát.
Ezek a technikák a csalárd tevékenységek mintáit azonosítják, például olyan fiókokat, amelyek minimálisan kapcsolódnak a GitHubhoz a csillagtárak vagy a mutatók felfújása érdekében összehangolt fiókcsoportok mellett.
A StarScout beállítása magában foglalja a létrehozását. Python-környezet és különféle hitelesítő adatok konfigurálása, beleértve a MongoDB, a Google Cloud és a GitHub API tokeneket. Az eszközt a nagyszabású adatfeldolgozásban jártas kutatók és elemzők számára tervezték, mivel az észlelési szkriptek futtatása több mint 20 terabájtnyi adat kiolvasásával jár.
A kutatók leírása szerint „a BigQuery lekérdezések nem tartanak tovább néhány percnél, de a szkript a GitHub API-t is lekéri bizonyos információk összegyűjtéséhez. Várhatóan lassabb lesz, és sok hibaüzenetet fog kiadni (mert sok hamis csillagtárat töröltek).”
Álcsillag-kampányok észlelése: folyamat
A StarScout munkafolyamata az alacsony aktivitású heurisztika futtatásával kezdődik, amely elemzi a GitHub-adatokat meghatározott időkeretekből, és azonosítja az anomáliákat hamis csillagokat jelez. Az eredményeket a rendszer a MongoDB-ben tárolja, és a helyi CSV-fájlokba exportálja A műveletek összetettsége miatt a fürtözési heurisztika akár egy hetet is igénybe vehet az adatok feldolgozásához, ami több mint 40 terabájt tárhelyet igényel Ha elkészült, az eredményeket exportálják és összesítik a feltételezett hamis csillagok adatkészletébe.
Az adatkészletet negyedévente frissítik, tükrözve a kutatócsoport legfrissebb eredményeit. A kutatók felhívják a figyelmet arra, hogy az adatkészlet feltételezett eseteket tartalmaz és hamis pozitív eredményeket is tartalmazhat.
Elmagyarázták: „Az adatkészletünkben szereplő egyes adattárak és felhasználók téves pozitívak lehetnek. Adatkészletünk fő célja a statisztikai elemzések elvégzése (amely meglehetősen jól tolerálja a zajokat), nem pedig az egyes adattárak nyilvános megszégyenítése.”Az etikai megfontolások kritikus elemei ennek a munkának, mivel a kutatás célja a szélesebb trendek kiemelése, nem pedig konkrét projektek, ill. fejlesztők.
A StarScout szerepe a jövő alakításában
A StarScout fejlesztése jelentős előrelépés a csaló tevékenységek elleni küzdelemben a GitHubon Az adatvezérelt technikák kihasználásával az eszköz méretezhető megoldást kínál a hamis csillagkampányok azonosítására Eredményeink rávilágítanak arra, hogy a felhasználók védelme és a szoftverökoszisztéma iránti bizalom fenntartása érdekében skálázható megoldásokat kell kifejleszteni. Ahogy a GitHub folyamatosan növekszik, az olyan eszközök, mint a StarScout, elengedhetetlenek lesznek a felmerülő fenyegetések kezelésében és a platform fenntarthatóságának biztosításában.
Felhívás a nyílt forráskódú integritás megerősítésére
A tanulmány eredményei rávilágítanak a rendszerszintű változtatás sürgős szükségességére a nyílt forráskódú közösségen belül. Mivel a nyílt forráskódú összetevőkre való támaszkodás folyamatosan növekszik, ezek biztonságának és megbízhatóságának biztosítása a legfontosabb. Az átláthatóság, az elszámoltathatóság és a robusztus mérőszámok előtérbe helyezésével a nyílt forráskódú közösség rugalmasabb ökoszisztémát építhet ki, amely a fejlesztők, a vállalkozások és a felhasználók számára egyaránt előnyös.
Bár az álsztárkampányok jelentette kihívások jelentősek, lehetőséget kínálnak a nyílt forráskódú fejlesztés alapjainak megerősítésére is. Együttműködéssel a platformszolgáltatók, fejlesztők és szervezetek kezelhetik ezeket a fenyegetéseket, és biztosíthatják, hogy a GitHub az innováció és az együttműködés megbízható forrása maradjon.
