GitHub, verdens mest brukte plattform for utvikling av åpen kildekode, står overfor et eskalerende problem: misbruk av stjernesystemet. Designet for å signalisere popularitet og kvalitet, blir disse stjernene nå utnyttet til kunstig å blåse opp omdømmet til lagrene, hvorav mange inneholder skadevare eller engasjerer seg i andre ondsinnede aktiviteter.
Forskere fra Carnegie Mellon University, Socket og North Carolina State University gjennomførte en studie som avslørte skalaen og implikasjoner av denne uredelige oppførselen. (via Bleepingcomputer)
De identifiserte over 4,5 millioner falske stjerner assosiert med 15 835 depoter mellom 2019 og 2024, og kastet lys over en alarmerende trend som undergraver tilliten til plattformen og setter åpen kildekode-økosystemet i fare.
>Relatert: GitHub-kommentarer vant til Spre Credential-Stealing Lumma Malware
Implikasjoner for utviklere og organisasjoner
Misbruken av GitHub-stjerner har betydelige implikasjoner for utviklere, organisasjoner og det bredere programvaretilbudet kjede. Stjerner brukes ofte som en rask heuristikk for å evaluere kvaliteten på et depot, spesielt av utviklere som leter etter åpen kildekode-komponenter for å integrere i prosjektene deres.
Men som studien viste, var 15,8 % av depotene som mottok 50 eller flere stjerner i juli 2024 knyttet til falske stjernekampanjer. Denne forvrengningen undergraver troverdigheten til GitHubs stjernesystem og fremhever risikoen ved å stole på enkeltverdier for beslutningstaking.
Antall depoter med falske stjernekampanjer i hver måned, sammenlignet med antall alle GitHub-depoter som mottok ≥50 stjerner i den måneden. (Kilde: Studie)
Forskerne understreket viktigheten av en mer helhetlig tilnærming til evaluering av depoter. De uttalte:”Stjernetall er et upålitelig signal om kvalitet og bør ikke brukes til avgjørelser med høy innsats, i hvert fall ikke av seg selv. Det er viktig å evaluere andre signaler for å unngå å overvurdere popularitet eller omdømme, noe som kan føre til sikkerhetsrisikoer.”
De oppfordrer utviklere og organisasjoner til å se forbi antall stjerner og vurdere tilleggsfaktorer, som dokumentasjon, pull-forespørsler , og aktiviteten til anerkjente bidragsytere, for å ta informerte beslutninger.
Relatert: Over 3000 GitHub-kontoer Brukt i Stargazer Goblins Malware-kampanje
Sikkerhetsrisikoen ved falske stjerner
En av de mest bekymringsfulle aspektene ved falske stjernekampanjer er forbindelsen deres til distribusjon av skadelig programvare. Mange flaggede depoter var kortvarige prosjekter som ble utgitt som piratkopiert programvare, spilljuksere eller kryptovaluta-roboter
Disse Depoter inneholdt ofte skjult skadelig programvare designet for å stjele sensitive data eller kryptovalutaer fra intetanende brukere. Forskerne forklarte:”Disse kampanjene fremmer ofte kortvarige phishing-malwarelagre som skjuler seg som piratkopiert programvare eller andre tiltalende verktøy for å lokke intetanende brukere.”
Funnene fremhever sårbarheter i GitHubs beregninger og moderasjonssystemer. Mens GitHub har handlet for å fjerne mange flaggede depoter, står plattformen overfor betydelige utfordringer med å koble ondsinnede kontoer til aktivitetene deres.
Forskerne foreslo at GitHub implementerer vektede beregninger som tar hensyn til brukeromdømme og aktivitetsmønstre, og reduserer virkningen av uredelige interaksjoner. De anbefalte også større åpenhet og samarbeid med åpen kildekode-fellesskapet for å utvikle verktøy og retningslinjer for å identifisere uredelige aktiviteter.
Relatert: Microsoft kjemper mot Cybersecurity-problemer på GitHub med AI-løsninger
p>
StarScout: Et verktøy for å identifisere falske stjerner
For å møte denne økende trusselen, har forskerteamet utviklet og lanserte StarScout, et avansert deteksjonsverktøy som opererer i stor skala for å avdekke mistenkelige GitHub-stjerner.
StarScout bruker et Python-basert rammeverk som krever Python 3.12 og har blitt testet på Ubuntu 22.04. Den bruker to primære deteksjonsheuristikk: lavaktivitetsheuristikken og klyngeheuristikken.
Disse teknikkene identifiserer mønstre av uredelig aktivitet, for eksempel kontoer som engasjerer minimalt med GitHub utover stjernedepoter eller koordinerte grupper av kontoer som opptrer sammen for å blåse opp beregninger.
Å sette opp StarScout innebærer å lage et Python-miljø og konfigurere ulike legitimasjoner, inkludert MongoDB, Google Cloud og GitHub API-tokens. Verktøyet er designet for forskere og analytikere som er kjent med databehandling i stor skala, ettersom å kjøre deteksjonsskriptene innebærer å lese over 20 terabyte med data.
Som beskrevet av forskerne,”BigQuery-spørringene vil ikke ta mer enn noen få minutter, men skriptet vil også hente GitHub API for å samle inn viss informasjon. Forvent at det går tregere og sender ut mange feilmeldinger (fordi mange av de falske stjernedepotene er slettet).”
Detecting Fake Star Campaigns: The Process
StarScouts arbeidsflyt begynner med å kjøre lavaktivitetsheuristikken, som analyserer GitHub-data fra spesifiserte tidsrammer og identifiserer anomalier som indikerer falske stjerner lagres i MongoDB og eksporteres til lokale CSV-filer
Dette trinnet følges av klyngeheuristikken, som bruker CopyCatch-algoritmen til å oppdage koordinerte aktiviteter over seks måneders intervaller. klyngeheuristikken kan ta opptil en uke å behandle data, og bruker over 40 terabyte med lagring. Når den er fullført, eksporteres resultatene og aggregert til et datasett med mistenkte falske stjerner.
Datasettet oppdateres kvartalsvis, noe som gjenspeiler de nyeste funnene fra forskerteamet. Forskerne advarer spesielt om at datasettet inneholder mistenkte tilfeller og kan inkludere falske positiver.
De forklarte:”De individuelle depotene og brukerne i datasettet vårt kan være falske positive. Hovedformålet med datasettet vårt er for statistiske analyser (som tåler støy rimelig godt), ikke for offentlig skamlegging av individuelle depoter.”Etiske betraktninger er en kritisk komponent i dette arbeidet, ettersom forskningen tar sikte på å synliggjøre bredere trender i stedet for å målrette mot spesifikke prosjekter eller utviklere.
Starscouts rolle i å forme fremtiden
Utviklingen av StarScout representerer et betydelig fremskritt i kampen mot svindelaktiviteter på GitHub Ved å utnytte datadrevne teknikker, gir verktøyet en skalerbar løsning for å identifisere falske stjernekampanjer
Forskerne forklarte,”StarScout demonstrerer hvordan datadrevne verktøy kan brukes til å identifisere og redusere svindel på nettplattformer Våre funn understreker viktigheten av å utvikle skalerbare løsninger for å beskytte brukere og opprettholde tillit i programvareøkosystemet.”Ettersom GitHub fortsetter å vokse, vil verktøy som StarScout være avgjørende for å håndtere nye trusler og sikre plattformens bærekraft.
A Call to Strengthen Open-Source Integrity
Funnene fra denne studien fremhever det presserende behovet for systemisk endring i åpen kildekode-fellesskapet. Ettersom avhengigheten av åpen kildekode-komponenter fortsetter å vokse, er det avgjørende å sikre deres sikkerhet og pålitelighet. Ved å prioritere åpenhet, ansvarlighet og robuste beregninger kan åpen kildekode-fellesskapet bygge et mer motstandsdyktig økosystem som kommer både utviklere, bedrifter og brukere til gode.
Selv om utfordringene med falske stjernekampanjer er betydelige, er de gir også en mulighet til å styrke grunnlaget for åpen kildekode-utvikling. Ved å samarbeide kan plattformleverandører, utviklere og organisasjoner håndtere disse truslene og sikre at GitHub forblir en pålitelig ressurs for innovasjon og samarbeid.
