GitHub, cea mai folosită platformă din lume pentru dezvoltarea software-ului open-source, se confruntă cu o problemă tot mai mare: utilizarea greșită a sistemului său star. Conceput pentru a semnala popularitate și calitate, aceste vedete sunt acum exploatate pentru a umfla artificial reputația depozitelor, dintre care multe adăpostesc programe malware sau se angajează în alte activități rău intenționate.
Cercetători de la Carnegie Mellon University, Socket și North. Universitatea de Stat din Carolina a realizat un studiu care a expus amploarea și implicațiile acestei fraude. comportament. (prin Bleepingcomputer)
Ei au identificat peste 4,5 milioane de stele false asociate cu 15.835 de depozite între 2019 și 2024, aruncând lumină asupra unei tendințe alarmante care subminează încrederea în platformă și pune în pericol ecosistemul open-source.
Legate: Comentarii GitHub Folosit pentru a răspândi programe malware Lumma care fură acreditări
Implicații pentru dezvoltatori și organizații
Folosirea greșită a stelelor GitHub are implicații semnificative pentru dezvoltatori, organizații și mai larg lanțul de aprovizionare cu software. Stelele sunt adesea folosite ca o euristică rapidă pentru evaluarea calității unui depozit, în special de către dezvoltatorii care caută componente open-source pe care să le integreze în proiectele lor.
Cu toate acestea, după cum a arătat studiul, 15,8% dintre depozitele care au primit 50 sau mai multe stele în iulie 2024 au fost legate de campanii false de stele. Această distorsiune subminează credibilitatea sistemului stea al GitHub și evidențiază riscurile de a se baza pe valori unice pentru luarea deciziilor.
Numărul de depozite cu campanii false vedete în fiecare lună, în comparație cu numărul tuturor depozitelor GitHub care au primit ≥50 de stele în luna respectivă. (Sursa: Studiu)
Cercetătorii au subliniat importanța unei abordări mai holistice pentru evaluarea depozitelor. Ei au declarat: „Numărul de stele este un semnal de calitate nesigur și nu ar trebui folosit pentru decizii cu mize mari, cel puțin nu de la sine. Este vital să se evalueze alte semnale pentru a evita supraestimarea popularității sau a reputației, ceea ce poate duce la riscuri de securitate.”
Aceștia încurajează dezvoltatorii și organizațiile să privească dincolo de numărul de stele și să evalueze factori suplimentari, cum ar fi documentația, solicitările de extragere. , și activitatea colaboratorilor reputați, pentru a lua decizii în cunoștință de cauză.
Legate: Peste 3.000 de conturi GitHub utilizate în Stargazer Campania de malware a lui Goblin
Riscurile de securitate ale stelelor false
Unul dintre cele mai îngrijorătoare aspecte ale campaniilor false vedete este conexiunea lor cu distribuția de malware multe au fost proiecte de scurtă durată care se mascară în software piratat, trucuri de jocuri sau roboti de criptomonedă
Aceste depozite conțineau adesea programe malware ascunse fura date sensibile sau criptomonede de la utilizatori nebănuiți. Cercetătorii au explicat: „Aceste campanii promovează frecvent depozite de malware de phishing de scurtă durată care se deghează în software piratat sau alte instrumente atrăgătoare pentru a atrage utilizatorii nebănuiți.”
Descoperirile evidențiază. vulnerabilități în sistemele de măsură și moderare ale GitHub. În timp ce GitHub a acționat pentru a elimina multe depozite semnalate, platforma se confruntă cu provocări semnificative în legarea conturilor rău intenționate la activitățile lor.
Cercetătorii au sugerat ca GitHub să implementeze valori ponderate care iau în considerare reputația utilizatorilor și modelele de activitate, reducând impactul interacțiunilor frauduloase. De asemenea, au recomandat o mai mare transparență și colaborare cu comunitatea open-source pentru a dezvolta instrumente și linii directoare pentru identificarea activităților frauduloase.
Legate: Microsoft luptă împotriva problemelor de securitate cibernetică pe GitHub cu soluții AI
p>
StarScout: Un instrument pentru identificarea stelelor false
Pentru a aborda această amenințare în creștere, echipa de cercetare a dezvoltat și lansat StarScout, un instrument avansat de detectare care funcționează la scară pentru a descoperi stelele GitHub suspecte.
StarScout folosește un cadru bazat pe Python care necesită Python 3.12 și a fost testat pe Ubuntu 22.04. Utilizează două euristici de detectare primare: euristica cu activitate scăzută și euristica de grupare.
Aceste tehnici identifică tipare de activitate frauduloasă, cum ar fi conturile care se interacționează minim cu GitHub, dincolo de depozitele cu stea sau grupuri coordonate de conturi care acționează în comun pentru a umfla valorile.
Configurarea StarScout implică crearea un mediu Python și configurarea diferitelor acreditări, inclusiv jetoane MongoDB, Google Cloud și GitHub API. Instrumentul este conceput pentru cercetătorii și analiștii familiarizați cu procesarea datelor la scară largă, deoarece rularea scripturilor de detectare implică citirea a peste 20 de terabytes de date.
Așa cum au descris cercetătorii, „interogările BigQuery nu vor dura mai mult de câteva minute, dar scriptul va prelua și API-ul GitHub pentru a colecta anumite informații. Așteptați-vă să fie mai lent și să trimită o mulțime de mesaje de eroare (deoarece multe dintre depozitele de stele false au fost șterse).”
Detectarea campaniilor de stele false: procesul
Fluxul de lucru al StarScout începe cu rularea euristicii cu activitate redusă, care analizează datele GitHub din intervale de timp specificate și identifică anomalii care indică stelele false stocate în MongoDB și exportate în fișiere CSV locale
Acest pas este urmat de euristica de grupare, care utilizează algoritmul CopyCatch pentru a detecta activități coordonate pe intervale de șase luni Euristica de grupare poate dura până la o săptămână pentru a procesa datele, consumând peste 40 de terabytes de stocare Odată finalizată, rezultatele sunt exportate și agregate în a Setul de date despre stele false suspectate.
Setul de date este actualizat trimestrial, reflectând cele mai recente descoperiri ale echipei de cercetare, în special, cercetătorii avertizează că setul de date conține cazuri suspecte și poate include false pozitive.
Au explicat: „Arhivele și utilizatorii individuale din setul nostru de date pot fi fals pozitive. Scopul principal al setului nostru de date este pentru analize statistice (care tolerează zgomotele rezonabil de bine), nu pentru a rușina public arhivele individuale.”Considerațiile etice sunt o componentă critică a acestei lucrări, deoarece cercetarea își propune să evidențieze tendințe mai largi, mai degrabă decât să vizeze proiecte specifice sau dezvoltatori.
Rolul StarScout în modelarea viitorului
Dezvoltarea StarScout reprezintă un progres semnificativ în lupta împotriva activităților frauduloase de pe GitHub Prin folosirea tehnicilor bazate pe date, instrumentul oferă o soluție scalabilă pentru identificarea campaniilor false
Cercetătorii au explicat: „StarScout demonstrează modul în care instrumentele bazate pe date poate fi folosit pentru a identifica și atenua activitățile frauduloase pe platformele online. Descoperirile noastre subliniază importanța dezvoltării de soluții scalabile pentru a proteja utilizatorii și a menține încrederea în ecosistemul software. Pe măsură ce GitHub continuă să crească, instrumente precum StarScout vor fi esențiale pentru abordarea amenințărilor emergente și pentru asigurarea durabilității platformei.
Un apel pentru consolidarea integrității open-source
Concluziile acestui studiu evidențiază nevoia urgentă de schimbare sistemică în cadrul comunității open-source. Pe măsură ce dependența de componentele open-source continuă să crească, asigurarea securității și fiabilității acestora este primordială. Acordând prioritate transparenței, responsabilității și valorilor robuste, comunitatea open-source poate construi un ecosistem mai rezistent care să beneficieze deopotrivă dezvoltatorii, companiile și utilizatorii.
Deși provocările generate de campaniile false vedete sunt semnificative, ele prezintă, de asemenea, o oportunitate de a consolida fundamentul dezvoltării open-source. Lucrând împreună, furnizorii de platforme, dezvoltatorii și organizațiile pot aborda aceste amenințări și se pot asigura că GitHub rămâne o resursă de încredere pentru inovare și colaborare.
