GitHub, najpowszechniej używana na świecie platforma do tworzenia oprogramowania typu open source, stoi przed narastającym problemem: niewłaściwym wykorzystaniem swojego systemu gwiezdnego. Zaprojektowane, aby sygnalizować popularność i jakość, gwiazdy te są obecnie wykorzystywane do sztucznego zawyżania reputacji repozytoriów, z których wiele zawiera złośliwe oprogramowanie lub angażuje się w inne złośliwe działania.
Naukowcy z Carnegie Mellon University, Socket i North Uniwersytet Stanowy Karoliny przeprowadził badanie ujawniające skalę i konsekwencje tego oszukańczego zachowania. (przez Bleepingcomputer)
W latach 2019–2024 zidentyfikowali ponad 4,5 miliona fałszywych gwiazd powiązanych z 15 835 repozytoriami, rzuca światło na niepokojący trend, który podważa zaufanie do platformy i zagraża ekosystemowi open source.
Powiązane: Komentarze na GitHubie wykorzystywane do rozpowszechniania Złośliwe oprogramowanie Lumma kradnące dane uwierzytelniające
Konsekwencje dla programistów i organizacji
Niewłaściwe wykorzystanie gwiazdek GitHub ma znaczące konsekwencje dla programistów, organizacji i szerszego łańcucha dostaw oprogramowania. Gwiazdki są często używane jako szybka heurystyka do oceny jakości repozytorium, szczególnie przez programistów poszukujących komponentów typu open source do zintegrowania ze swoimi projektami.
Jednak jak wykazało badanie, 15,8% repozytoriów, które w lipcu 2024 r. otrzymały 50 lub więcej gwiazdek, było powiązanych z fałszywymi kampaniami z gwiazdkami. To zniekształcenie podważa wiarygodność systemu gwiezdnego GitHuba i uwypukla ryzyko polegania na pojedynczych wskaźnikach przy podejmowaniu decyzji.
Liczba repozytoriów z fałszywymi kampaniami z gwiazdkami w każdym miesiącu w porównaniu z liczbą wszystkich repozytoriów GitHub, które otrzymały w tym miesiącu ≥50 gwiazdek. (Źródło: badanie)
Naukowcy podkreślili znaczenie bardziej holistycznego podejścia do oceny repozytoriów. Stwierdzili: „Liczba gwiazdek jest zawodnym sygnałem jakości i nie powinna być wykorzystywana przy podejmowaniu decyzji o wysokiej stawce, przynajmniej nie sama. Ważne jest, aby ocenić inne sygnały, aby uniknąć przeceniania popularności lub reputacji, co może prowadzić do zagrożeń bezpieczeństwa.”
Zachęcają programistów i organizacje do spojrzenia poza liczbę gwiazdek i oceny dodatkowych czynników, takich jak dokumentacja, żądania ściągnięcia i działalność renomowanych współpracowników, aby podejmować świadome decyzje.
Powiązane: Ponad 3000 kont GitHub wykorzystanych w kampanii złośliwego oprogramowania Stargazer Goblin
Zagrożenia bezpieczeństwa związane z fałszywymi gwiazdami
Jednym z najbardziej niepokojących aspektów kampanii fałszywych gwiazd jest ich powiązanie z dystrybucją złośliwego oprogramowania. Wiele oznaczonych repozytoriów to krótkotrwałe projekty udające pirackie oprogramowanie , kody do gier lub boty kryptowalutowe
Repozytoria te często zawierały ukryte złośliwe oprogramowanie zaprojektowane w celu kradzieży wrażliwych danych lub kryptowalut od niczego niepodejrzewających użytkowników wyjaśnił: „Te kampanie często promują krótkotrwałe repozytoria złośliwego oprogramowania phishingowego, które udaje pirackie oprogramowanie lub inne atrakcyjne narzędzia w celu zwabienia niczego niepodejrzewających użytkowników.”
Wyniki uwydatniają luki w zabezpieczeniach systemów pomiarowych i moderacji GitHub. Chociaż GitHub podjął działania w celu usunięcia wielu oznaczonych repozytoriów, platforma stoi przed poważnymi wyzwaniami w zakresie powiązania złośliwych kont z ich działaniami.
Badacze zasugerowali, aby GitHub zaimplementował wskaźniki ważone, które uwzględniają reputację użytkowników i wzorce aktywności, redukując w ten sposób wpływ oszukańczych interakcji. Zalecili także większą przejrzystość i współpracę ze społecznością open source w celu opracowania narzędzi i wytycznych umożliwiających identyfikowanie nieuczciwych działań.
Powiązane: Microsoft rozwiązuje problemy związane z cyberbezpieczeństwem w GitHub za pomocą rozwiązań AI
Powiązane p>
StarScout: narzędzie do identyfikacji fałszywych gwiazd
Aby zaradzić temu rosnącemu zagrożeniu, zespół badawczy opracował i udostępnił StarScout, zaawansowane narzędzie do wykrywania, które działa na dużą skalę i pozwala na wykrywanie podejrzanych gwiazd GitHub.
StarScout korzysta ze środowiska opartego na Pythonie, wymagającego Pythona 3.12 i zostało przetestowane na Ubuntu 22.04. Wykorzystuje dwie podstawowe heurystyki wykrywania: heurystykę niskiej aktywności i heurystykę grupowania.
Techniki te identyfikują wzorce nieuczciwej działalności, takie jak konta, które w minimalnym stopniu korzystają z GitHub poza repozytoriami lub skoordynowanymi grupami kont działającymi wspólnie w celu zawyżania wskaźników.
Konfiguracja StarScout obejmuje utworzenie środowisko Python i konfigurowanie różnych danych uwierzytelniających, w tym tokenów MongoDB, Google Cloud i GitHub API. Narzędzie przeznaczone jest dla badaczy i analityków zaznajomionych z przetwarzaniem danych na dużą skalę, gdyż uruchomienie skryptów detekcyjnych wiąże się z odczytaniem ponad 20 terabajtów danych.
Jak opisali badacze, „zapytania BigQuery nie zajmą więcej niż kilka minut, ale skrypt pobierze również interfejs API GitHub w celu zebrania określonych informacji. Spodziewaj się, że będzie wolniejszy i generował wiele komunikatów o błędach (ponieważ wiele repozytoriów fałszywych gwiazdek zostało usuniętych).
Wykrywanie fałszywych kampanii gwiazd: proces
Praca w StarScout rozpoczyna się od uruchomienia heurystyki o niskiej aktywności, która analizuje dane GitHub z określonych przedziałów czasowych i identyfikuje anomalie wskazujące na fałszywe gwiazdy. Wyniki są przechowywane w MongoDB i eksportowane do lokalnych plików CSV.
Po tym kroku następuje heurystyka grupowania, która wykorzystuje algorytm CopyCatch do wykrywania skoordynowanych działań w odstępach sześciomiesięcznych. Ze względu na złożoność tych operacji może zostać zastosowana heurystyka grupowania na przetworzenie danych zajmuje ponad 40 terabajtów miejsca, a po zakończeniu wyniki są eksportowane i agregowane w zbiorze danych dotyczących podejrzanych fałszywych gwiazd.
Zbiór danych jest aktualizowany co kwartał. najnowsze ustalenia zespołu badawczego Naukowcy ostrzegają, że zbiór danych zawiera podejrzane przypadki i może zawierać wyniki fałszywie pozytywne.
Wyjaśnili: „Poszczególne repozytoria i użytkownicy w naszym zbiorze danych mogą dawać fałszywie pozytywne wyniki. Głównym celem naszego zbioru danych są analizy statystyczne (które dość dobrze tolerują szumy), a nie publiczne zawstydzanie poszczególnych repozytoriów.” Względy etyczne są kluczowym elementem tej pracy, ponieważ badanie ma na celu uwydatnienie szerszych trendów, a nie skupianie się na konkretnych projektach lub programistów.
Rola StarScout w kształtowaniu przyszłości
Rozwój StarScout stanowi znaczący postęp w walce z nieuczciwymi działaniami na GitHubie narzędzie to zapewnia skalowalne rozwiązanie do identyfikowania fałszywych kampanii gwiazd.
Naukowcy wyjaśnili: „StarScout pokazuje, w jaki sposób narzędzia oparte na danych mogą być wykorzystywane do identyfikowania i ograniczania nieuczciwych działań. na platformach internetowych Nasze ustalenia podkreślają znaczenie opracowania skalowalnych rozwiązań w celu ochrony użytkowników i utrzymania zaufania do ekosystemu oprogramowania”. W miarę dalszego rozwoju GitHub narzędzia takie jak StarScout będą niezbędne w walce z pojawiającymi się zagrożeniami i zapewnieniu trwałości platformy.
Wezwanie do wzmocnienia integralności oprogramowania Open Source
Wyniki tego badania podkreślają pilną potrzebę zmian systemowych w społeczności open source. Ponieważ coraz większa jest zależność od komponentów typu open source, zapewnienie ich bezpieczeństwa i niezawodności jest sprawą najwyższej wagi. Stawiając na pierwszym miejscu przejrzystość, odpowiedzialność i solidne wskaźniki, społeczność open source może zbudować bardziej odporny ekosystem, który przyniesie korzyści zarówno programistom, firmom, jak i użytkownikom.
Chociaż wyzwania, jakie stwarzają fałszywe kampanie gwiazd, są znaczące, stanowią także okazję do wzmocnienia podstaw rozwoju oprogramowania open source. Współpracując, dostawcy platform, programiści i organizacje mogą zaradzić tym zagrożeniom i zapewnić, że GitHub pozostanie zaufanym źródłem innowacji i współpracy.
