GitHub kampt met het probleem van onechte sterren die worden ingezet om de populariteit van scam- en malwareverspreidingsrepositories kunstmatig op te blazen. Zo bereiken ze meer argeloze gebruikers.
Dit meldt BleepingComputer. Sterren op GitHub functioneren als een soort Like-knoppen, waarmee gebruikers een repository kunnen markeren als favoriet. GitHub gebruikt deze sterren als onderdeel van een wereldwijd rankingsysteem. En om gerelateerde inhoud aan te bevelen die gebruikers mogelijk interessant vinden. Gebruikers kunnen repositories en onderwerpen sterren geven om soortgelijke projecten te ontdekken.
Probleem met nepsterren
Het probleem is al eerder gedocumenteerd, zoals afgelopen zomer toen Check Point een malwarebezorgdienst genaamd Stargazers Ghost Network ontdekte. Dit netwerk gebruikte een uitgebreid systeem van nepgebruikers die sterren gaven aan fake projecten. Dit om informatie-stelende malware te verspreiden. Ook niet-schadelijke projecten maken overigens gebruik van valse sterren om hun populariteit te vergroten, hun bereik te verhogen en echte gebruikers aan te trekken.
Een nieuwe studie van onderzoekers van Socket, Carnegie Mellon University en North Carolina State University onthult de omvang van dit probleem. Uit het onderzoek blijkt dat 4,5 miljoen sterren op GitHub vermoedelijk vals zijn.
Opsporen van valse sterren
De onderzoekers ontwikkelden een tool genaamd ‘StarScout’ om 20 TB aan data van ‘GHArchive’ te analyseren en valse sterren te identificeren. GHArchive bevat metadata van meer dan 6 miljard GitHub-events van juli 2019 tot oktober 2024, waaronder 60,5 miljoen gebruikersacties op 310 miljoen repositories en 610 miljoen sterren.
StarScout spoort gebruikers op met weinig activiteit op GitHub, zoals het alleen sterren geven aan één repository, accounts met bot- of tijdelijk accountgedrag, en groepen accounts die gecoördineerd handelen. Bijvoorbeeld door binnen korte tijd dezelfde repositories te sterren.
De methode is gebaseerd op CopyCatch, een algoritme ontworpen om frauduleuze patronen op sociale netwerken te detecteren.
4,5 miljoen verdachte sterren
Na het verwerken van de data met behulp van lage-activiteit- en lockstep-algoritmen ontdekte het team 4.530.000 verdachte sterren, afkomstig van 1.320.000 accounts verspreid over 22.915 repositories.
Om de betrouwbaarheid van de resultaten te vergroten, filterden de onderzoekers mogelijke false positives eruit. Ze beschouwden alleen repositories met een significante piek in starring-activiteit in één maand en waarvan het percentage nepsterren boven de 10% lag. Dit reduceerde de resultaten tot 3.100.000 nepsterren van 278.000 accounts voor 15.835 repositories.
Van deze repositories en accounts was ongeveer 91% van de repositories en 62% van de verdachte accounts verwijderd in oktober 2024, wat de nauwkeurigheid van de StarScout-tool ondersteunt.
Verdachte repositories
Het onderzoek laat ook zien dat de nepsterrenactiviteit in 2024 sterk toenam. Ongeveer 15,8% van de repositories met meer dan 50 sterren in juli 2024 was betrokken bij deze malafide campagnes.
De onderzoekers meldden de verdachte repositories en accounts die StarScout in juli 2024 identificeerde. GitHub verwijderde die, maar er worden nog aanvullende clusters geëvalueerd en gerapporteerd, gevonden in november 2024.
Minder vertrouwen in GitHub
Nepsterren ondermijnen het vertrouwen in GitHub en de projecten die erop worden gehost. Gebruikers wordt aangeraden om verder te kijken dan sterren en repositories te evalueren op activiteit, kwaliteit, documentatie, inhoud, bijdragen en code.
Misleidende GitHub-repositories zijn wijdverbreid en zijn zelfs ingezet in door staten gesponsorde operaties. Voorzichtigheid is daarom geboden bij het downloaden van software van het platform.
BleepingComputer heeft contact opgenomen met GitHub voor meer informatie over hoe het platform het probleem van nepsterren actief bestrijdt, maar wacht nog op een reactie.