На GitHub 4,5 млн фейковых оценок, которые вводят пользователей в заблуждение
Исследователи из Университета Карнеги-Меллона и Университета штата Северная Каролина обратили внимание, что на GitHub множатся липовые оценки. Таких кампаний всё больше, они вводят разработчиков в заблуждение и способствуют распространению вредоносов.
Звёзды выступают главным показателем популярности и качества репозиториев. Однако их можно искусственно накрутить при помощи специальных сервисов всего по $0,1 за штуку. Разработчики и компании доверяют проектам с высокими рейтингами, хотя на самом деле они могут не иметь большой поддержки сообщества.
Обычно проекты с накрученными звёздами замаскированы под полезные инструменты — например, для читерства в играх или под криптоботов. Но нередко в них спрятан код, позволяющий злоумышленникам взламывать пользовательские системы и красть данные.
Сама по себе практика накрутки рейтинга на платформе не нова. Однако свежее исследование показывает, что масштаб проблемы гораздо серьёзнее, чем предполагалось. Исследователи создали инструмент StarScout, который анализирует миллиарды событий на GitHub и ищет закономерности, говорящие об аномальной активности — например, когда аккаунт не делает ничего, кроме как ставит звёзды, или когда это делают группы аккаунтов синхронно и массово.
За период с 2019 по 2024 год в рамках кампаний по накрутке было проставлено более 4,5 млн звёзд 15 835 репозиториев. Всплеск был зафиксирован в этом году. Более 70% этих репозиториев оказались фишинговыми схемами или замаскированными вредоносами.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.