Исследователи Университета Карнеги Меллон, Университета штата Северной Каролины и компании Socket Inc. установили, что на платформе GitHub имеется более 4,5 миллиона фейковых оценок репозиториев. Эти поддельные оценки создают путаницу среди разработчиков, а также облегчают злоумышленникам распространение вредоносного программного обеспечения.
На GitHub пользователи могут оценивать полезные репозитории, ставя им звезды. Однако злонамеренные лица могут приобретать звезды на сторонних площадках, используя для этого боты. Стоимость одной положительной оценки составляет 0,10 долларов, что позволяет манипулировать мнением пользователей и создавать ложное представление о поддержке сообществом.
Злоумышленники создают репозитории с вредоносным кодом и используют ботов для повышения их рейтинга. Это может привести к тому, что невнимательные разработчики используют такой код в своих проектах, подвергая себя рискам утечки данных.
В ответ на эти угрозы исследователи разработали утилиту StarScout, предназначенную для анализа пользователей, которые выставляют оценки репозиториям. Этот инструмент оценивает активность профилей, проекты, которые они отмечают звездами, и пересечение их активности с другими пользователями. В ходе анализа было установлено, что с 2019 по 2024 годы боты выставили около 4,5 миллиона оценок. Из 15,8 тыс. проверенных репозиториев более 70% оказались фишинговыми.
Разработчикам настоятельно рекомендуется не полагаться исключительно на количество звезд при выборе репозitoriев, а сосредоточиться на анализе активности участников и проекта в целом.
]]>
