GitHub, världens mest använda plattform för mjukvaruutveckling med öppen källkod, står inför ett eskalerande problem: missbruket av sitt stjärnsystem. Designade för att signalera popularitet och kvalitet, utnyttjas dessa stjärnor nu för att på konstgjord väg blåsa upp ryktet för förvar, av vilka många hyser skadlig programvara eller ägnar sig åt andra skadliga aktiviteter.
Forskare från Carnegie Mellon University, Socket och North Carolina State University genomförde en studie som avslöjade skalan och konsekvenserna av detta bedrägliga beteende. (via Bleepingcomputer)
De identifierade över 4,5 miljoner falska stjärnor associerade med 15 835 arkiv mellan 2019 och 2024, vilket kastade ljus över en alarmerande trend som undergräver förtroendet för plattformen och äventyrar ekosystemet med öppen källkod.
>Relaterat: GitHub-kommentarer van vid Sprid inloggningsstöld Lumma Malware
Konsekvenser för utvecklare och organisationer
Misbruket av GitHub-stjärnor har betydande konsekvenser för utvecklare, organisationer och det bredare utbudet av programvara kedja. Stjärnor används ofta som en snabb heuristik för att utvärdera kvaliteten på ett arkiv, särskilt av utvecklare som letar efter komponenter med öppen källkod för att integreras i sina projekt.
Men, som studien avslöjade, var 15,8 % av arkiven som fick 50 eller fler stjärnor i juli 2024 kopplade till falska stjärnkampanjer. Denna snedvridning undergräver trovärdigheten hos GitHubs stjärnsystem och framhäver riskerna med att förlita sig på enskilda mätvärden för beslutsfattande.
Antalet förråd med falska stjärnkampanjer i varje månad, jämfört med antalet alla GitHub-förråd som fick ≥50 stjärnor under den månaden. (Källa: Studie)
Forskarna betonade vikten av ett mer holistiskt tillvägagångssätt för att utvärdera förvar. De sa:”Antalet stjärnor är en opålitlig signal om kvalitet och bör inte användas för beslut med höga insatser, åtminstone inte av sig självt. Det är viktigt att utvärdera andra signaler för att undvika att överskatta popularitet eller rykte, vilket kan leda till säkerhetsrisker.”
De uppmuntrar utvecklare och organisationer att se bortom antalet stjärnor och bedöma ytterligare faktorer, såsom dokumentation, pull-förfrågningar , och aktiviteten hos välrenommerade bidragsgivare, för att fatta välgrundade beslut.
Relaterat: Över 3 000 GitHub-konton Används i Stargazer Goblins Malware-kampanj
Säkerhetsriskerna med falska stjärnor
En av de mest oroande aspekterna av falska stjärnkampanjer är deras koppling till distribution av skadlig programvara. Många flaggade arkiv var kortlivade projekt som maskerade sig som piratkopierad programvara, spelfusk eller kryptovalutabotar
Dessa Förvar innehöll ofta dold skadlig programvara som utformats för att stjäla känsliga data eller kryptovalutor från intet ont anande användare. Forskarna förklarade:”Dessa kampanjer främjar ofta kortlivade förråd för nätfiske som ställer ut sig som piratkopierad programvara eller andra tilltalande verktyg för att locka intet ont anande användare.”
Fynden lyfter fram sårbarheter i GitHubs mätvärden och modereringssystem. Medan GitHub har agerat för att ta bort många flaggade arkiv, står plattformen inför betydande utmaningar när det gäller att länka skadliga konton till deras aktiviteter.
Forskarna föreslog att GitHub implementerar viktade mätvärden som tar hänsyn till användarens rykte och aktivitetsmönster, vilket minskar effekten av bedrägliga interaktioner. De rekommenderade också större transparens och samarbete med öppen källkod för att utveckla verktyg och riktlinjer för att identifiera bedrägliga aktiviteter.
Relaterat: Microsoft bekämpar cybersäkerhetsproblem på GitHub med AI-lösningar
p>
StarScout: Ett verktyg för att identifiera falska stjärnor
För att ta itu med detta växande hot har forskarteamet utvecklade och släppte StarScout, ett avancerat detekteringsverktyg som arbetar i stor skala för att avslöja misstänkta GitHub-stjärnor.
StarScout använder ett Python-baserat ramverk som kräver Python 3.12 och har testats på Ubuntu 22.04. Den använder två primära detektionsheuristiker: lågaktivitetsheuristiken och klustringsheuristiken.
Dessa tekniker identifierar mönster av bedräglig aktivitet, till exempel konton som använder GitHub minimalt utöver stjärnlager eller samordnade grupper av konton som agerar tillsammans för att blåsa upp mätvärden.
Att ställa in StarScout innebär att skapa en Python-miljö och konfigurera olika referenser, inklusive MongoDB, Google Cloud och GitHub API-tokens. Verktyget är designat för forskare och analytiker som är bekanta med storskalig databehandling, eftersom att köra detekteringsskripten innebär att man läser över 20 terabyte data.
Som beskrivits av forskarna tar BigQuery-frågorna inte mer än några minuter, men skriptet hämtar också GitHub API för att samla in viss information. Räkna med att det blir långsammare och skicka ut många felmeddelanden (eftersom många av de falska stjärnlagren har tagits bort).”
Detecting Fake Star Campaigns: The Process
StarScouts arbetsflöde börjar med att köra lågaktivitetsheuristiken, som analyserar GitHub-data från specificerade tidsramar och identifierar anomalier som tyder på falska stjärnor lagras i MongoDB och exporteras till lokala CSV-filer
Detta steg följs av klustringsheuristiken, som använder CopyCatch-algoritmen för att upptäcka koordinerade aktiviteter över sex månaders intervall. klustringsheuristiken kan ta upp till en vecka att bearbeta data, vilket förbrukar över 40 terabyte lagring När det är klart exporteras resultaten och aggregeras till en datauppsättning av misstänkta falska stjärnor.
Datauppsättningen uppdateras kvartalsvis, vilket återspeglar de senaste resultaten av forskargruppen. Forskarna varnar särskilt för att datauppsättningen innehåller misstänkta fall och kan innehålla falska positiva resultat.
De förklarade,”De enskilda förråden och användarna i vår datauppsättning kan vara falska positiva. Huvudsyftet med vår datauppsättning är för statistiska analyser (som tolererar buller någorlunda bra), inte för att offentligt skama enskilda förvar.”Etiska överväganden är en kritisk komponent i detta arbete, eftersom forskningen syftar till att lyfta fram bredare trender snarare än att rikta in sig på specifika projekt eller utvecklare.
StarScouts roll i att forma framtiden
Utvecklingen av StarScout representerar ett betydande framsteg i kampen mot bedrägliga aktiviteter på GitHub Genom att utnyttja datadrivna tekniker ger verktyget en skalbar lösning för att identifiera falska stjärnkampanjer
Forskarna förklarade,”StarScout visar hur datadrivna verktyg kan användas för att identifiera och mildra bedrägliga aktiviteter på onlineplattformar. Våra resultat understryker vikten av att utveckla skalbara lösningar för att skydda användare och upprätthålla förtroende i mjukvarans ekosystem.”När GitHub fortsätter att växa kommer verktyg som StarScout att vara avgörande för att hantera nya hot och säkerställa plattformens hållbarhet.
A Call to Strengthen Open-Source Integrity
Resultaten av denna studie visar på det akuta behovet av systemförändringar inom öppen källkod. Eftersom beroendet av komponenter med öppen källkod fortsätter att växa, är det av största vikt att säkerställa deras säkerhet och tillförlitlighet. Genom att prioritera transparens, ansvarsskyldighet och robusta mätvärden kan communityn med öppen källkod bygga ett mer motståndskraftigt ekosystem som gynnar både utvecklare, företag och användare.
Även om utmaningarna med falska stjärnkampanjer är betydande, ger också en möjlighet att stärka grunden för utveckling med öppen källkod. Genom att arbeta tillsammans kan plattformsleverantörer, utvecklare och organisationer hantera dessa hot och säkerställa att GitHub förblir en pålitlig resurs för innovation och samarbete.
