В следующий раз, когда вы будете просматривать программный проект на GitHub, не считайте, что большое количество звезд является показателем качества. Новое исследование, проведенное учеными из Университета Карнеги-Меллона, компании Socket и Государственного университета Северной Каролины, показало, как поддельные звезды используются для продвижения вредоносных репозиториев на GitHub.
GitHub является одним из самых популярных сайтов для хостинга программных проектов и загрузок, от Windows Terminal до 7-Zip. Пользователи могут «ставить звезды» репозиторию, что похоже на «лайк» на платформах социальных сетей, и проекты с большим количеством звезд иногда отображаются на главной странице GitHub и в других местах.
Существуют некоторые сообщения о том, что злонамеренные лица добавляют тысячи звезд к поддельным проектам для распространения вредоносного ПО, но новая научная работа предоставляет больше информации о проблеме. В ней объясняется, что поддельные звезды на GitHub получают из «ботов, краудсорсинга, платформ обмена, где пользователи обмениваются звездами на вознаграждение» и других подобных методов. Звезды покупаются для «гrowth hacking», иногда для привлечения венчурного финансирования, а также для продвижения репозиториев с вредоносным ПО. В статье сказано: «Репозитории с поддельными звездами получают несправедливое преимущество в конкурсе популярности на GitHub, что затем может быть использовано различными способами для причинения вреда заинтересованным сторонам в цепочке поставок программного обеспечения.»
Исследователи создали инструмент под названием «StarScout», который сканирует репозитории и аккаунты GitHub на наличие вероятных поддельных звезд, используя данные из баз данных за последние пять лет. Результаты работы StarScout предполагают, что атаки с использованием поддельных звезд увеличиваются, и в сканируемых репозиториях было обнаружено около 4.5 миллиона поддельных звезд. Некоторые из проектов с поддельными звездами оказались «пиратским ПО, игровыми читами и ботами для криптовалюты», но с вредоносным кодом.
В статье говорится: «Количество активности по поддельному ставлению звезд увеличивалось с 2022 года и резко возросло в 2024 году (обратите внимание, что оси Y логарифмически трансформированы): большинство месяцев до 2022 года имели не более 10 репозиториев с кампаниями поддельных звезд, но в 2022 и 2023 годах это число выросло до десятков, а в 2024 году – до тысяч. Эти активности достигли пика в июле 2024 года в нашей базе данных, когда было 3,216 репозиториев с кампаниями поддельных звезд и 30,779 участников.»
Это в первую очередь беспокоит разработчиков программного обеспечения, но также затрагивает всех, кто использует звезды в проектах на GitHub как индикатор качества, безопасности или популярности. Если вы не уверены, является ли приложение или проект, который вы смотрите, легитимным, проверьте страницу проблем (исследователи обнаружили некоторые вредоносные репозитории с предупреждениями от пользователей) и найдите ссылки на проект на других авторитетных сайтах, таких как Wikipedia.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Новинка! На нашем канале в Яндекс Дзен появилась премиум подписка, которая позволяет читать статьи без рекламы и получать доступ к эксклюзивным материалам, недоступным обычным пользователям. Будем рады, видеть вас в числе премиум пользователей!
🏕️ Любите активный отдых на природе? Подписывайтесь на канал Поход лайфхак в Яндекс Дзен — кладезь полезных советов для любителей активного отдыха!
Вы также можете читать наши материалы в:
- Telegram: https://t.me/gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru
