Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Количество поддельных звёзд GitHub Stars на GitHub растёт последние полгода

10/09/24

1 (5)-1

Исследователи из компании Socket обнаружили на GitHub 3,7 миллиона фальшивых звёзд GitHub Stars, что указывает на рост мошенничества и распространение вредоносного ПО на популярной платформе для разработчиков. За последние шесть месяцев масштабы этой проблемы стремительно увеличились, согласно Securitylab.

Звёзды на GitHub часто служат первым показателем популярности проекта, однако из-за мошеннических схем это больше не надёжный критерий. Фальшивые звёзды продаются всего за 10 центов, что превращает их в инструмент для обмана пользователей и инвесторов. И хотя GitHub запрещает автоматическую массовую активность и поддельные учётные записи, эти действия по-прежнему широко распространены.

Главная опасность таких звёзд — мошеннические репозитории, которые маскируются под популярные проекты и содержат вредоносный код. Например, некоторые из подобных репозиториев нацелены на кражу криптовалют через скрытые команды. В числе других рисков — привлечение венчурных инвестиций в компании с поддельными показателями популярности, что ведёт к финансовым потерям ничего не подозревающих инвесторов.

Кроме того, фальшивые звёзды повышают рейтинг низкокачественных репозиториев, таких как списки примеров кода или шаблонов, что засоряет GitHub и сбивает с толку начинающих программистов.

Несмотря на усилия GitHub по удалению таких репозиториев, проблема остаётся актуальной: 11% сомнительных репозиториев остаются активными, а 28 из них и вовсе были помечены специалистами как содержащие вредоносное ПО.

Алгоритм, использованный для выявления фальшивых звёзд, базируется на анализе данных GitHub за последние пять лет. С его помощью удалось выявить более 10 тысяч репозиториев с подозрительными звёздами. GitHub уже удалил почти 90% от этих репозиториев, но всё ещё остаются тысячи, которые могут содержать вредоносное ПО или просто быть недобросовестными проектами.

Исследователи предлагают пользователям быть внимательными и проверять репозитории, не доверяя только количеству звёзд. Также на платформе была запущена новая система уведомлений о подозрительных звёздах, которая помогает выявлять потенциально опасные проекты и предотвращать риски в цепочке поставок программного обеспечения.

Ситуация со звёздами GitHub ярко иллюстрирует, как в наши дни даже самые надёжные показатели доверия могут быть скомпрометированы. Она напоминает нам о необходимости постоянной бдительности и критического мышления в онлайн-среде, где видимость популярности не всегда отражает истинную ценность или безопасность.

Темы:РейтингиУгрозыGitHubМошенничествоSocket
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...