Исследователи Университета Карнеги Меллон, Университета штата Северной Каролины и компании Socket Inc выяснили, что на GitHub есть более 4,5 млн фейковых оценок репозиториев. Это путает разработчиков, а злоумышленникам помогает продвигать вредоносное ПО.
Пользователи GitHub могут оценивать полезные репозитории с помощью звёзд. При этом звёзды можно купить на сторонних площадках, и в таком случае их поставят боты. Одна положительная оценка обойдётся в 0,10 долларов. Таким образом можно манипулировать мнение пользователей, создавая видимость поддержки сообществом.
Злоумышленники создают репозитории с вредоносным кодом и поднимают их рейтинг с помощью звёзд от ботов. Невнимательные разработчики используют этот код в своих проектах, а злоумышленники — крадут данные.
Исследователи разработали StarScout — утилиту для анализа пользователей, которые оценивают репозитории. Она учитывает, активность профиля, какие проекты пользователь отметил звёздами и пересекается ли его активность с другими пользователями. С помощью утилиты выяснили, что с 2019 по 2024 года боты поставили около 4,5 млн оценок. Всего удалось проверить 15,8 тыс. репозиториев, из них более 70% оказались фишинговыми.
Разработчикам рекомендуют не ориентироваться на количество звёзд при выборе репозиториев. Вместо этого стоит анализировать активность в проекте и его участников.
