Ang GitHub, ang pinakamalawak na ginagamit na platform sa mundo para sa open-source na software development, ay nahaharap sa tumitinding problema: ang maling paggamit ng star system nito. Dinisenyo upang magpahiwatig ng katanyagan at kalidad, ang mga bituin na ito ay pinagsasamantalahan na ngayon upang artipisyal na palakihin ang reputasyon ng mga repositoryo, na marami sa mga ito ay may malware o nakikisali sa iba pang malisyosong aktibidad.
Mga mananaliksik mula sa Carnegie Mellon University, Socket, at North Ang Carolina State University nagsagawa ng pag-aaral na inilalantad ang sukat at implikasyon ng mapanlinlang na pag-uugali na ito. (sa pamamagitan ng Bleepingcomputer)
Natukoy nila ang mahigit 4.5 milyong pekeng bituin na nauugnay sa 15,835 na repositoryo sa pagitan ng 2019 at 2024, nagbibigay-liwanag sa isang nakababahala na trend na sumisira sa tiwala sa platform at nagdudulot ng panganib sa open-source na ecosystem.
Nauugnay: Ginamit ang Mga Komento sa GitHub upang Ikalat ang Credential-Stealing Lumma Malware
Mga Implikasyon para sa Mga Developer at Organisasyon
Ang maling paggamit ng GitHub star ay may malaking implikasyon para sa mga developer, organisasyon, at mas malawak na software kadena ng suplay. Ang mga bituin ay kadalasang ginagamit bilang isang mabilis na heuristic para sa pagsusuri sa kalidad ng isang repositoryo, lalo na ng mga developer na naghahanap ng mga open-source na bahagi upang isama sa kanilang mga proyekto.
Gayunpaman, gaya ng isiniwalat ng pag-aaral, 15.8% ng mga repositoryo na tumatanggap ng 50 o higit pang mga bituin noong Hulyo 2024 ay na-link sa mga pekeng star campaign. Pinapahina ng pagbaluktot na ito ang kredibilidad ng star system ng GitHub at itinatampok ang mga panganib ng pag-asa sa iisang sukatan para sa paggawa ng desisyon.
Ang bilang ng mga repository na may mga pekeng star campaign sa bawat buwan, kumpara sa bilang ng lahat ng GitHub repository na nakatanggap ng ≥50 star sa buwang iyon. (Source: Pag-aaral)
Binigyang-diin ng mga mananaliksik ang kahalagahan ng isang mas holistic na diskarte sa pagsusuri ng mga repositoryo. Sinabi nila,”Ang bilang ng bituin ay isang hindi mapagkakatiwalaang senyales ng kalidad at hindi dapat gamitin para sa mga desisyon na may mataas na taya, hindi bababa sa hindi mismo. Mahalagang suriin ang iba pang mga senyales upang maiwasan ang labis na pagtantya sa katanyagan o reputasyon, na maaaring humantong sa mga panganib sa seguridad.”
Hinihikayat nila ang mga developer at organisasyon na tumingin nang higit pa sa bilang ng mga bituin at suriin ang mga karagdagang salik, gaya ng dokumentasyon, mga kahilingan sa paghila. , at ang aktibidad ng mga kagalang-galang na nag-aambag, upang makagawa ng matalinong mga pagpapasya.
Kaugnay: Higit sa 3,000 GitHub Account na Ginamit sa Stargazer Ang Kampanya ng Malware ng Goblin
Ang Mga Panganib sa Seguridad ng Mga Pekeng Bituin
Ang isa sa mga pinaka-nakababahalang aspeto ng mga kampanyang pekeng bituin ay ang kanilang koneksyon sa pamamahagi ng malware ay mga panandaliang proyekto na nagpapanggap bilang pirated na software, laro cheats, o cryptocurrency bots
Ang mga repository na ito ay kadalasang naglalaman ng nakatagong malware na idinisenyo upang magnakaw ng sensitibo data o cryptocurrencies mula sa mga hindi pinaghihinalaang user, ipinaliwanag ng mga mananaliksik, “Ang mga campaign na ito ay madalas na nagpo-promote ng mga panandaliang phishing malware repository na nagpapakilala sa kanilang mga sarili bilang pirated na software o iba pang nakakaakit na mga tool upang akitin ang mga hindi pinaghihinalaang user.”
Ang mga natuklasan ay nagpapakita ng mga kahinaan sa Mga sukatan at sistema ng pag-moderate ng GitHub. Bagama’t kumilos ang GitHub upang alisin ang maraming na-flag na mga repositoryo, nahaharap ang platform sa malalaking hamon sa pag-link ng mga nakakahamak na account sa kanilang mga aktibidad.
Iminungkahi ng mga mananaliksik na ipatupad ng GitHub ang mga timbang na sukatan na isinasaalang-alang ang reputasyon ng user at mga pattern ng aktibidad, na binabawasan ang epekto ng mga mapanlinlang na pakikipag-ugnayan. Inirerekomenda din nila ang higit na transparency at pakikipagtulungan sa open-source na komunidad upang bumuo ng mga tool at alituntunin para sa pagtukoy ng mga mapanlinlang na aktibidad.
Kaugnay: Microsoft Battles Cybersecurity Issues on GitHub with AI Solutions
p>
StarScout: Isang Tool para sa Pagkilala sa Mga Pekeng Bituin
Upang matugunan ang lumalaking banta na ito, ang research team binuo at inilabas ang StarScout, isang advanced na tool sa pag-detect na gumagana nang malawakan upang tumuklas ng mga kahina-hinalang GitHub star.
Gumagamit ang StarScout ng Python-based na framework na nangangailangan ng Python 3.12 at nasubok na sa Ubuntu 22.04. Gumagamit ito ng dalawang pangunahing heuristic sa pagtukoy: ang heuristic na may mababang aktibidad at ang clustering heuristic.
Tinutukoy ng mga diskarteng ito ang mga pattern ng mapanlinlang na aktibidad, tulad ng mga account na kakaunti ang pakikipag-ugnayan sa GitHub lampas sa paglalagay ng star sa mga repositoryo o mga coordinated na grupo ng mga account na kumikilos nang magkakasabay upang palakihin ang mga sukatan.
Ang pag-set up ng StarScout ay kinabibilangan ng paglikha isang kapaligiran sa Python at pag-configure ng iba’t ibang mga kredensyal, kabilang ang mga token ng MongoDB, Google Cloud, at GitHub API. Ang tool ay idinisenyo para sa mga mananaliksik at analyst na pamilyar sa malakihang pagpoproseso ng data, dahil ang pagpapatakbo ng mga script ng pagtuklas ay nagsasangkot ng pagbabasa ng higit sa 20 terabytes ng data.
Tulad ng inilarawan ng mga mananaliksik, “ang mga query sa BigQuery ay hindi tatagal ng higit sa ilang minuto, ngunit kukunin din ng script ang GitHub API upang mangolekta ng ilang partikular na impormasyon. Asahan na ito ay mas mabagal at maglalabas ng maraming mensahe ng error (dahil marami sa mga pekeng star repository ang natanggal).”
Detecting Fake Star Campaigns: The Process
Nagsisimula ang daloy ng trabaho ng StarScout sa pagpapatakbo ng heuristic na mababa ang aktibidad, na sinusuri ang data ng GitHub mula sa mga tinukoy na timeframe at kinikilala ang mga anomalya na nagpapahiwatig ng mga pekeng bituin. Ang mga resulta ay iniimbak sa MongoDB at na-export sa mga lokal na CSV file
Ang hakbang na ito ay sinusundan ng clustering heuristic, na gumagamit ng CopyCatch algorithm upang makita ang mga pinagsama-samang aktibidad sa loob ng anim na buwang pagitan Ang pagiging kumplikado ng mga operasyong ito, ang clustering heuristic ay maaaring tumagal ng hanggang isang linggo upang maproseso ang data, na kumonsumo ng higit sa 40 terabytes ng storage Kapag nakumpleto na, ang mga resulta ay na-export at pinagsama-sama sa isang dataset ng mga pinaghihinalaang pekeng bituin.
Ang dataset ay ina-update kada quarter, na nagpapakita ng mga pinakabagong natuklasan ng pangkat ng pananaliksik, kapansin-pansin, ang mga mananaliksik ay nag-iingat na ang dataset ay naglalaman ng mga pinaghihinalaang kaso at maaaring may kasamang mga maling positibo.
Ipinaliwanag nila, “Ang mga indibidwal na repository at user sa aming dataset ay maaaring mga false positive. Ang pangunahing layunin ng aming dataset ay para sa mga istatistikal na pag-aaral (na makatuwirang pinahihintulutan ang mga ingay), hindi para sa pampublikong kahihiyan sa mga indibidwal na repositoryo.”Ang mga etikal na pagsasaalang-alang ay isang kritikal na bahagi ng gawaing ito, dahil ang pananaliksik ay naglalayong i-highlight ang mas malawak na mga uso sa halip na i-target ang mga partikular na proyekto o mga developer.
Ang Papel ng StarScout sa Paghubog ng Hinaharap
Ang pagbuo ng StarScout ay kumakatawan sa isang makabuluhang pag-unlad sa labanan ang mga mapanlinlang na aktibidad sa GitHub Sa pamamagitan ng paggamit ng mga diskarteng batay sa data, ang tool ay nagbibigay ng nasusukat na solusyon para sa pagtukoy ng mga pekeng star campaign
Ipinaliwanag ng mga mananaliksik, “Ipinapakita ng StarScout kung paano magagamit ang mga tool na batay sa data. at pagaanin ang mga mapanlinlang na aktibidad sa mga online na platform na binibigyang-diin ng aming mga natuklasan ang kahalagahan ng pagbuo ng mga nasusukat na solusyon upang maprotektahan ang mga user at mapanatili ang tiwala sa software ecosystem. Habang patuloy na lumalaki ang GitHub, ang mga tool tulad ng StarScout ay magiging mahalaga sa pagtugon sa mga umuusbong na banta at pagtiyak sa pagpapatuloy ng platform.
Isang Panawagan para Palakasin ang Open-Source Integrity
Ang mga natuklasan ng pag-aaral na ito ay nagtatampok sa kagyat na pangangailangan para sa sistematikong pagbabago sa loob ng open-source na komunidad. Habang patuloy na lumalaki ang pag-asa sa mga open-source na bahagi, ang pagtiyak sa seguridad at pagiging maaasahan ng mga ito ay pinakamahalaga. Sa pamamagitan ng pagbibigay-priyoridad sa transparency, pananagutan, at matatag na sukatan, ang open-source na komunidad ay makakabuo ng isang mas nababanat na ecosystem na nakikinabang sa mga developer, negosyo, at user.
Bagama’t makabuluhan ang mga hamon na dulot ng mga pekeng star campaign, sila nagpapakita rin ng pagkakataong palakasin ang pundasyon ng open-source development. Sa pamamagitan ng pagtutulungan, matutugunan ng mga provider ng platform, developer, at organisasyon ang mga banta na ito at matiyak na ang GitHub ay mananatiling isang pinagkakatiwalaang mapagkukunan para sa pagbabago at pakikipagtulungan.
