GitHub: falsi progetti hanno ricevuto più di 3,1 milioni di “stelle”

GitHub ha un problema con le "stelle" non autentiche utilizzate per gonfiare artificialmente la popolarità dei repository di distribuzione di truffe e malware per apparire più popolari, aiutandoli a raggiungere più utenti ignari. Le stelle sono simili ai pulsanti "Mi piace" sui siti di social media, consentendo agli utenti di GitHub di aggiungere un repository ai preferiti. GitHub utilizza le stelle come parte di un sistema di classificazione globale e per mostrare contenuti correlati che ritiene possano piacerti. Come spiegato dalla società: "puoi aggiungere repository e argomenti alle stelle per scoprire progetti simili. Quando aggiungi repository o argomenti alle stelle, GitHub potrebbe consigliare contenuti correlati sulla tua dashboard personale".

Il problema è stato già rilevato l'estate scorsa, quando Check Point ha scoperto un servizio di distribuzione di malware denominato "Stargazers Ghost Network". Questo utilizzava un'ampia rete di utenti non autentici che puntavano su progetti falsi per promuovere malware che rubavano informazioni. Anche i progetti non dannosi utilizzano stelle false per aumentare la propria popolarità, aumentare la propria portata e attrarre l'attenzione legittima degli utenti, stelle vere e l'adozione. Più recentemente, è stato pubblicato uno studio simile condotto dai ricercatori di Socket, Carnegie Mellon University e North Carolina State University.  Lo studio ha rilevato 4,5 milioni di stelle su GitHub, che si sospetta essere false.

GitHub: stelle false aumentate del 15% nel 2024

I ricercatori hanno sviluppato e utilizzato uno strumento chiamato "StarScout" per analizzare 20 TB di dati da "GHArchive" per trovare stelle non autentiche. Il team ha trovato 4.530.000 stelle sospette non autentiche fornite da 1.320.000 account in 22.915 repository. Lo studio mostra anche che l'attività delle stelle false è aumentata nel 2024, con circa il 15,8% dei repository con più di 50 stelle a luglio 2024 coinvolti in queste campagne dannose. I ricercatori hanno segnalato i repository e gli account che StarScout ha identificato come non autentici a luglio 2024 e GitHub li ha rimossi tutti. Tuttavia, ulteriori cluster trovati a novembre 2024 sono ancora in fase di valutazione e segnalazione.

Le implicazioni delle stelle false su GitHub e sui suoi utenti sono molteplici, ma in genere il problema intacca la fiducia nella piattaforma. Gli utenti dovrebbero guardare oltre le stelle, valutare l'attività e la qualità del repository, leggere la documentazione, esaminare il contenuto e i contributi e rivedere il codice, se possibile. I repository GitHub ingannevoli sono diffusi e la piattaforma è stata persino sfruttata in operazioni sponsorizzate dallo stato. Gli utenti dovrebbero quindi fare attenzione quando scaricano software dalla piattaforma. In questo modo la possibilità di essere attaccati da malware o subire truffa si potrebbe ridurre di molto.