На GitHub знайшли 4,5 млн фейкових зірок. Хто і навіщо купляє зірки для своїх проектів?

Сервіс GitHub, який є головною платформою для публікації проектів з відкритим кодом, зіткнувся з проблемою фальшивих зірок, якими штучно завищуються показники популярності репозиторіїв.

Дослідження, проведене Університетом Карнегі-Меллоун та Університетом штату Північна Кароліна, демонструє, що на GitHub присутні щонайменше 4,5 фейкових зірок, які вводять розробників в оману та розширюють шляхи для розповсюдження шкідливого програмного забезпечення. Про це повідомляє видання Cyber Insider.

Зірки на GitHub служать основним показником популярності та якості проекту. Однак їхню кількість можна штучно завищити за допомогою купівлі штучно «накручених» зірок вартістю всього $0,10 за штуку. Зловмисники використовують фальшиві зірки для просування репозиторіїв, які маскуються під такі інструменти, як чіти для ігор або криптовалютні боти. Ці сховища часто містять зловмисне програмне забезпечення, яке дозволяє хакерам викрадати дані.

Хоча практика накрутки популярності проектів GitHub не є новою, дослідження двох університетів показало, що проблема набагато масштабніша, ніж це передбачалося раніше.

Дослідники розробили інструмент під назвою StarScout, який виявляє аномалії в активності GitHub. StarScout аналізує мільярди подій GitHub, щоб виявити шаблони, які вказують на зростання фальшивих зірок у проектах з мінімальною активністю. Було проаналізовано дані з 2019 по 2024 роки та виявлено, що понад 4,5 мільйона фальшивих зірок і 15 835 репозиторіїв були залучені до кампаній з накрутки рейтингу.

Найпомітніші висновки дослідження:

• У 2024 році спостерігалося різке зростання кількості фейкових кампаній із зірками: майже 16% репозиторіїв з 50 і більше зірками у липні 2024 року були пов’язані з накруткою рейтингу.
• Понад 70% цих сховищ були або фішинговими шахрайствами, або замаскованими зловмисними програмами.
• Фальшиві зірки можуть тимчасово привернути увагу розробників, але їхній довгостроковий вплив є негативним і часто стримує справжніх користувачів від взаємодії з репозиторієм.

З огляду на це, експерти рекомендують перевіряти активність сховища не тільки за кількістю зірок. Варто шукати значущі запити на об’єднання коду та активні обговорення. Крім того, слід враховувати показники репутації, такі як OpenSSF Scorecards, оскільки вони забезпечують цілісну оцінку безпеки програмного забезпечення.