محققان دانشگاه کارنگی ملون و دانشگاه ایالتی کارولینای شمالی طی مطالعاتی با استفاده از ابزاری به نام StarScout، دادههای گیتهاب را تحلیل کرده و دریافتند که فعالیتهای جعلی در GitHub افزایش یافته است و محبوبیت برخی مخازن با استفاده از ستارههای جعلی بصورت مصنوعی افزایش یافته است.
GitHub از ستاره ها به عنوان بخشی از یک سیستم رتبه بندی جهانی استفاده میکند و محتوای مرتبطی را که فکر میکند دوست دارید به شما نشان می دهد. از این رو، GitHub با «ستارههای جعلی » که برای افزایش غیراصولی محبوبیت مخازن توزیع بدافزار استفاده میشوند، مشکل دارد.
این ستارهها شبیه دکمه «Like» در شبکههای اجتماعی عمل میکنند. از سوی دیگر این لایکها اگر درست انجام نشوند، ممکن است گمراه کننده باشند و این رتبه بندی جعلی میتواند کاربران را به دانلود کدهای مخرب یا بدافزارها ترغیب کند.
شما در واقع برای کشف پروژههای مشابه در GitHub میتوانید مخازن و موضوعات را ستاره دار کنید. هنگامی که شما مخازن یا موضوعات را ستاره دار میکنید، GitHub ممکن است محتوای مرتبط را در داشبورد شخصی شما پیشنهاد دهد.
مهاجمان از تکنیکهای مختلفی از جمله ایجاد حسابهای جعلی و استفاده از اسکریپتهای خودکار برای ستارهدار کردن مخازن استفاده میکنند. این رفتار هماهنگ میتواند منجر به افزایش ناگهانی تعداد ستارهها شود و اعتبار مخزن را زیر سوال ببرد.
محققان در این مطالعه حدود ۳.۱ میلیون ستاره جعلی را شناسایی کردند که توسط بیش از ۲۷۸,۰۰۰ حساب کاربری به حدود ۱۵,۸۳۵ مخزن داده شده بود. این ستارههای جعلی عمدتاً برای ترویج مخازن بدافزارهایی استفاده میشوند که بهعنوان نرمافزارهای محبوب یا ابزارهای مرتبط با حوزه بازی (گیم) و ارز دیجیتال معرفی میشوند.
محققان، ۲۰ ترابایت داده را از ‘GHAarchive’ که شامل ۶ میلیارد رویداد GitHub از سال ۲۰۱۹ تا ۲۰۲۴ بود برای یافتن ستارههای غیر معتبر با استفاده از ابزاری به نامStarScout ، تجزیه و تحلیل کردند. روش آنها بر اساس یک الگوریتم طراحی شده برای شناسایی الگوهای تقلبی در شبکههای اجتماعی به نام CopyCatch بود.
این یافتهها جدید نیستند، در تابستان گذشته نیز Check Point یک سرویس تحویل بدافزار به نام ‘Stargazers Ghost Network‘ را کشف کرد که از شبکه گستردهای از کاربران غیر معتبر با ستاره دار کردن پروژههای جعلی GitHub برای انتشار بدافزارهای رباینده اطلاعات استفاده میکرد.
این مطالعه نشان داد که فعالیت ستارههای جعلی در سال ۲۰۲۴ افزایش یافته است. خبر خوش این است که حدود ۹۱% از مخازن و ۶۲% از اکانتهای غیر معتبر مشکوک تا اکتبر ۲۰۲۴ از GitHub حذف شدند. محققان مخازن و حسابهایی را که StarScout در جولای ۲۰۲۴ آنها را غیر معتبر شناسایی کرده بود گزارش کردند و GitHub نیز تقریبا تمام آنها را حذف کرد.
یافتههای اخیر، چالشهای موجود در اکوسیستم GitHub در مورد اطمینان و امنیت را برجسته میکند. از توسعه دهندگان خواسته میشود تا هنگام ارزیابی مخازن صرفاً بر اساس تعداد ستارهها تصمیم نگیرند.
پیامد ستارههای جعلی در GitHub به طور کلی منجر به مشکل عدم اطمینان به پلتفرمها و پروژههای مختلف نرم افزاری میزبانی شده در GitHub میشود. این دستکاری نه تنها یکپارچگی پلتفرم را تضعیف میکند، بلکه خطراتی را برای کاربرانی که ممکن است ناخواسته نرم افزارهای مخرب را به عنوان پروژههای قانونی دانلود کنند، ایجاد خواهد کرد.
