GitHub ซึ่งเป็นแพลตฟอร์มที่ใช้กันอย่างแพร่หลายมากที่สุดในโลกสำหรับการพัฒนาซอฟต์แวร์โอเพ่นซอร์ส กำลังเผชิญกับปัญหาที่ทวีความรุนแรงขึ้น นั่นก็คือ การใช้ระบบดาวในทางที่ผิด ออกแบบมาเพื่อส่งสัญญาณความนิยมและคุณภาพ ขณะนี้ดาวเหล่านี้กำลังถูกนำไปใช้เพื่อสร้างชื่อเสียงของแหล่งเก็บข้อมูลปลอม ซึ่งหลายแห่งมีมัลแวร์หรือมีส่วนร่วมในกิจกรรมที่เป็นอันตรายอื่นๆ
นักวิจัยจาก Carnegie Mellon University, Socket และ North มหาวิทยาลัยแห่งรัฐแคโรไลนา ได้ทำการศึกษา โดยเปิดเผยขนาดและผลกระทบของพฤติกรรมฉ้อโกงนี้ (ผ่าน Bleepingcomputer)
พวกเขาระบุดาวปลอมได้มากกว่า 4.5 ล้านดวงที่เกี่ยวข้องกับคลังข้อมูล 15,835 แห่งระหว่างปี 2019 ถึง 2024 เผยให้เห็นถึงแนวโน้มที่น่าตกใจที่ บ่อนทำลายความไว้วางใจในแพลตฟอร์มและเป็นอันตรายต่อระบบนิเวศโอเพ่นซอร์ส
ที่เกี่ยวข้อง: ความคิดเห็นของ GitHub ใช้เพื่อเผยแพร่ Lumma ที่ขโมยข้อมูลรับรอง มัลแวร์
ผลกระทบสำหรับนักพัฒนาและองค์กร
การใช้ดาว GitHub ในทางที่ผิดมีผลกระทบอย่างมีนัยสำคัญต่อนักพัฒนา องค์กร และห่วงโซ่อุปทานซอฟต์แวร์ในวงกว้าง Stars มักถูกใช้เป็นฮิวริสติกที่รวดเร็วในการประเมินคุณภาพของพื้นที่เก็บข้อมูล โดยเฉพาะอย่างยิ่งโดยนักพัฒนาที่กำลังมองหาส่วนประกอบโอเพ่นซอร์สเพื่อรวมเข้ากับโปรเจ็กต์ของพวกเขา
อย่างไรก็ตาม จากการศึกษาพบว่า 15.8% ของพื้นที่เก็บข้อมูลที่ได้รับ 50 ดาวขึ้นไปในเดือนกรกฎาคม 2024 นั้นเชื่อมโยงกับแคมเปญดาวปลอม การบิดเบือนนี้จะบ่อนทำลายความน่าเชื่อถือของระบบดาวของ GitHub และเน้นย้ำถึงความเสี่ยงของการพึ่งพาตัวชี้วัดเดี่ยวในการตัดสินใจ
จำนวนพื้นที่เก็บข้อมูลที่มีแคมเปญดาวปลอม ในแต่ละเดือน เทียบกับจำนวนพื้นที่เก็บข้อมูล GitHub ทั้งหมดที่ได้รับ ≥50 ดาวในเดือนนั้น (ที่มา: การศึกษา)
นักวิจัยเน้นย้ำถึงความสำคัญของแนวทางแบบองค์รวมมากขึ้นในการประเมินที่เก็บข้อมูล พวกเขากล่าวว่า”จำนวนดาวเป็นสัญญาณบ่งบอกถึงคุณภาพที่ไม่น่าเชื่อถือ และไม่ควรใช้เพื่อการตัดสินใจที่มีเดิมพันสูง อย่างน้อยก็ไม่ใช่โดยตัวมันเอง การประเมินสัญญาณอื่นๆ เป็นสิ่งสำคัญเพื่อหลีกเลี่ยงการประเมินความนิยมหรือชื่อเสียงที่สูงเกินไป ซึ่งอาจนำไปสู่ความเสี่ยงด้านความปลอดภัย”
สัญญาณเหล่านี้สนับสนุนให้นักพัฒนาและองค์กรมองข้ามการนับดาวและประเมินปัจจัยเพิ่มเติม เช่น เอกสารประกอบ คำขอดึงข้อมูล และกิจกรรมของผู้มีส่วนร่วมที่มีชื่อเสียงในการตัดสินใจอย่างมีข้อมูล
ที่เกี่ยวข้อง: บัญชี GitHub มากกว่า 3,000 บัญชีที่ใช้ในแคมเปญมัลแวร์ของ Stargazer Goblin
ความเสี่ยงด้านความปลอดภัยของดาวปลอม
หนึ่งในแง่มุมที่น่ากังวลที่สุดของแคมเปญดาวปลอมคือการเชื่อมโยงกับการกระจายมัลแวร์ พื้นที่เก็บข้อมูลที่ถูกตั้งค่าสถานะหลายแห่งเป็นโครงการที่มีอายุสั้นซึ่งปลอมตัวเป็น ซอฟต์แวร์ละเมิดลิขสิทธิ์ โปรแกรมโกงเกม หรือบอทสกุลเงินดิจิทัล
พื้นที่เก็บข้อมูลเหล่านี้มักมีมัลแวร์ที่ซ่อนอยู่ซึ่งออกแบบมาเพื่อขโมยข้อมูลที่ละเอียดอ่อนหรือสกุลเงินดิจิทัลจากผู้ใช้ที่ไม่สงสัย มักส่งเสริมแหล่งเก็บมัลแวร์ฟิชชิ่งที่มีอายุสั้นซึ่งปลอมตัวเป็นซอฟต์แวร์ละเมิดลิขสิทธิ์หรือเครื่องมือที่น่าสนใจอื่นๆ เพื่อล่อลวงผู้ใช้ที่ไม่สงสัย”
การค้นพบนี้เน้นย้ำถึงช่องโหว่ในตัวชี้วัดและระบบการดูแลของ GitHub ในขณะที่ GitHub ดำเนินการลบพื้นที่เก็บข้อมูลที่ถูกตั้งค่าสถานะจำนวนมาก แพลตฟอร์มดังกล่าวเผชิญกับความท้าทายที่สำคัญในการเชื่อมโยงบัญชีที่เป็นอันตรายกับกิจกรรมของพวกเขา
นักวิจัยแนะนำว่า GitHub ใช้ตัวชี้วัดแบบถ่วงน้ำหนักที่พิจารณาชื่อเสียงของผู้ใช้และรูปแบบกิจกรรม ซึ่งจะช่วยลดผลกระทบจากการโต้ตอบที่ฉ้อโกง พวกเขายังแนะนำความโปร่งใสและการทำงานร่วมกันที่มากขึ้นกับชุมชนโอเพ่นซอร์สเพื่อพัฒนาเครื่องมือและแนวทางในการระบุกิจกรรมการฉ้อโกง
ที่เกี่ยวข้อง: Microsoft ต่อสู้กับปัญหาความปลอดภัยทางไซเบอร์บน GitHub ด้วยโซลูชัน AI
p>
StarScout: เครื่องมือในการระบุดาวปลอม
ทีมวิจัย พัฒนาและเปิดตัว StarScout ซึ่งเป็นเครื่องมือตรวจจับขั้นสูงที่ทำงานในวงกว้างเพื่อค้นพบดาว GitHub ที่น่าสงสัย
StarScout ใช้เฟรมเวิร์กที่ใช้ Python ซึ่งต้องการ Python 3.12 และได้รับการทดสอบบน Ubuntu 22.04 ใช้การวิเคราะห์พฤติกรรมการตรวจจับหลักสองแบบ: พฤติกรรมการตรวจจับที่มีกิจกรรมต่ำและพฤติกรรมการตรวจจับแบบคลัสเตอร์
เทคนิคเหล่านี้ระบุรูปแบบของกิจกรรมฉ้อโกง เช่น บัญชีที่มีส่วนร่วมน้อยที่สุดกับ GitHub นอกเหนือจากที่เก็บข้อมูลที่ติดดาวหรือกลุ่มบัญชีที่ประสานงานกันซึ่งดำเนินการร่วมกันเพื่อเพิ่มตัวชี้วัด
การตั้งค่า StarScout เกี่ยวข้องกับการสร้าง สภาพแวดล้อม Python และการกำหนดค่าข้อมูลรับรองต่างๆ รวมถึงโทเค็น MongoDB, Google Cloud และ GitHub API เครื่องมือนี้ออกแบบมาสำหรับนักวิจัยและนักวิเคราะห์ที่คุ้นเคยกับการประมวลผลข้อมูลขนาดใหญ่ เนื่องจากการเรียกใช้สคริปต์การตรวจจับเกี่ยวข้องกับการอ่านข้อมูลมากกว่า 20 เทราไบต์
ตามที่นักวิจัยอธิบายไว้ “การค้นหา BigQuery ใช้เวลาไม่เกินสองสามนาที แต่สคริปต์จะดึง GitHub API เพื่อรวบรวมข้อมูลบางอย่างด้วย คาดว่าจะทำงานช้าลงและแสดงข้อความแสดงข้อผิดพลาดจำนวนมาก (เนื่องจากคลังเก็บดาวปลอมจำนวนมากถูกลบไปแล้ว)”
การตรวจจับแคมเปญดาวปลอม: กระบวนการ
เวิร์กโฟลว์ของ StarScout เริ่มต้นด้วยการรันฮิวริสติกที่มีกิจกรรมต่ำ ซึ่งจะวิเคราะห์ข้อมูล GitHub จากกรอบเวลาที่กำหนด และระบุความผิดปกติที่บ่งชี้ถึงดาวปลอม ผลลัพธ์จะถูกจัดเก็บไว้ใน MongoDB และส่งออกไปยังท้องถิ่น ไฟล์ CSV
ขั้นตอนนี้จะตามมาด้วยการวิเคราะห์พฤติกรรมการทำคลัสเตอร์ ซึ่งใช้อัลกอริธึม CopyCatch เพื่อตรวจจับกิจกรรมที่มีการประสานงานในช่วงเวลาหกเดือน เนื่องจากความซับซ้อนของการดำเนินการเหล่านี้ การวิเคราะห์พฤติกรรมการทำคลัสเตอร์อาจใช้เวลานานถึง สัปดาห์ในการประมวลผลข้อมูล ซึ่งใช้พื้นที่จัดเก็บข้อมูลมากกว่า 40 เทราไบต์ เมื่อเสร็จสิ้นแล้ว ผลลัพธ์จะถูกส่งออกและรวมเข้าเป็นชุดข้อมูลของดาวปลอมที่น่าสงสัย
ชุดข้อมูลจะได้รับการอัปเดตทุกไตรมาส ซึ่งสะท้อนถึงข้อมูลส่วนใหญ่ การค้นพบล่าสุดของทีมวิจัย โดยเฉพาะอย่างยิ่ง นักวิจัยเตือนว่าชุดข้อมูลมีกรณีที่สงสัยและอาจรวมถึงผลบวกลวง
พวกเขาอธิบายว่า “ที่เก็บข้อมูลแต่ละรายการและผู้ใช้ในชุดข้อมูลของเราอาจเป็นผลบวกลวง วัตถุประสงค์หลักของชุดข้อมูลของเราคือเพื่อการวิเคราะห์ทางสถิติ (ซึ่งทนต่อเสียงรบกวนได้ดีพอสมควร) ไม่ใช่เพื่อการสร้างความอับอายให้กับที่เก็บข้อมูลส่วนบุคคล”การพิจารณาด้านจริยธรรมเป็นองค์ประกอบที่สำคัญของงานนี้ เนื่องจากการวิจัยมีเป้าหมายเพื่อเน้นแนวโน้มในวงกว้างมากกว่าการกำหนดเป้าหมายโครงการเฉพาะหรือ นักพัฒนา
บทบาทของ StarScout ในการกำหนดอนาคต
การพัฒนา StarScout แสดงให้เห็นถึงความก้าวหน้าที่สำคัญในการต่อสู้กับการฉ้อโกง กิจกรรมบน GitHub ด้วยการใช้ประโยชน์จากเทคนิคที่ขับเคลื่อนด้วยข้อมูล เครื่องมือนี้จึงเป็นโซลูชันที่สามารถปรับขนาดได้สำหรับการระบุแคมเปญดาวปลอม
นักวิจัยอธิบายว่า “StarScout แสดงให้เห็นว่าเครื่องมือที่ขับเคลื่อนด้วยข้อมูลสามารถใช้เพื่อระบุและลดการฉ้อโกงได้อย่างไร กิจกรรมบนแพลตฟอร์มออนไลน์ การค้นพบของเราเน้นย้ำถึงความสำคัญของการพัฒนาโซลูชันที่ปรับขนาดได้เพื่อปกป้องผู้ใช้และรักษาความไว้วางใจในระบบนิเวศของซอฟต์แวร์”ในขณะที่ GitHub ยังคงเติบโต เครื่องมืออย่าง StarScout จะมีความสำคัญในการจัดการกับภัยคุกคามที่เกิดขึ้นใหม่และรับประกันความยั่งยืนของแพลตฟอร์ม
การเรียกร้องเพื่อเสริมสร้างความสมบูรณ์ของโอเพ่นซอร์ส
ข้อค้นพบของการศึกษาครั้งนี้เน้นย้ำถึงความจำเป็นเร่งด่วนในการเปลี่ยนแปลงระบบภายในชุมชนโอเพ่นซอร์ส เนื่องจากการพึ่งพาส่วนประกอบโอเพ่นซอร์สยังคงเพิ่มขึ้นอย่างต่อเนื่อง การรับรองความปลอดภัยและความน่าเชื่อถือเป็นสิ่งสำคัญยิ่ง ด้วยการจัดลำดับความสำคัญของความโปร่งใส ความรับผิดชอบ และตัวชี้วัดที่แข็งแกร่ง ชุมชนโอเพ่นซอร์สสามารถสร้างระบบนิเวศที่มีความยืดหยุ่นมากขึ้น ซึ่งเป็นประโยชน์ต่อนักพัฒนา ธุรกิจ และผู้ใช้เหมือนกัน
แม้ว่าความท้าทายที่เกิดจากแคมเปญดาราปลอมจะมีความสำคัญ แต่ ยังนำเสนอโอกาสในการเสริมสร้างรากฐานของการพัฒนาโอเพ่นซอร์ส ด้วยการทำงานร่วมกัน ผู้ให้บริการแพลตฟอร์ม นักพัฒนา และองค์กรต่างๆ สามารถจัดการกับภัยคุกคามเหล่านี้ได้ และรับประกันว่า GitHub ยังคงเป็นทรัพยากรที่เชื่อถือได้สำหรับนวัตกรรมและการทำงานร่วมกัน
