Το GitHub έχει πρόβλημα με τα μη αυθεντικά “αστέρια” που χρησιμοποιούνται για να διογκώσουν τεχνητά τη δημοτικότητα των αποθετηρίων διανομής απάτης και κακόβουλου λογισμικού ώστε να φαίνονται πιο δημοφιλή, βοηθώντας τους να προσεγγίσουν περισσότερους ανυποψίαστους χρήστες.
Τα αστέρια είναι παρόμοια με τα κουμπιά “Μου αρέσει” στους ιστότοπους κοινωνικής δικτύωσης, επιτρέποντας στους χρήστες του GitHub να αγαπούν ένα αποθετήριο. Το GitHub χρησιμοποιεί τα αστέρια ως μέρος ενός παγκόσμιου συστήματος κατάταξης και για να σας δείξει σχετικό περιεχόμενο που πιστεύει ότι μπορεί να σας αρέσει.
“Μπορείτε να προσθέσετε αστέρια σε αποθετήρια και θέματα για να ανακαλύψετε παρόμοια έργα στο GitHub. Όταν επισημαίνετε αποθετήρια ή θέματα, το GitHub μπορεί να προτείνει σχετικό περιεχόμενο στον προσωπικό σας πίνακα ελέγχου”, εξηγεί GitHub.
Το πρόβλημα έχει τεκμηριωθεί στο παρελθόν, όπως το περασμένο καλοκαίρι όταν το Check Point αποκάλυψε μια υπηρεσία παράδοσης κακόβουλου λογισμικού με το όνομα «Stargazers Ghost Network», η οποία χρησιμοποιούσε ένα εκτεταμένο δίκτυο μη αυθεντικών χρηστών με πρωταγωνιστές πλαστά έργα για να προωθήσει κακόβουλο λογισμικό που κλέβει πληροφορίες.
Τα μη κακόβουλα έργα χρησιμοποιούν επίσης ψεύτικα αστέρια για να ενισχύσουν τη δημοτικότητά τους, να αυξήσουν την απήχησή τους και να προσελκύσουν τη νόμιμη προσοχή των χρηστών, τα πραγματικά αστέρια και την υιοθεσία.
ΕΝΑ νέα μελέτη που διεξήχθη από ερευνητές στο Socket, το Carnegie Mellon University και το North Carolina State University μας δίνει μια καλύτερη ιδέα για την κλίμακα του προβλήματος, βρίσκοντας 4,5 εκατομμύρια αστέρια στο GitHub, τα οποία υποπτεύονται ότι είναι πλαστά.
Πηγή: Arxiv.org
Ψάχνετε για ψεύτικα αστέρια
Οι ερευνητές ανέπτυξαν και χρησιμοποίησαν ένα εργαλείο που ονομάζεται «StarScout» για να αναλύσουν 20 TB δεδομένων από το «GHAarchive» για να βρουν μη αυθεντικά αστέρια.
Το GHAarchive περιέχει μεταδεδομένα πάνω από 6 δισεκατομμύρια συμβάντα GitHub από τον Ιούλιο του 2019 έως τον Οκτώβριο του 2024, συμπεριλαμβανομένων 60,5 εκατομμυρίων ενεργειών χρηστών σε 310 εκατομμύρια αποθετήρια και 610 εκατομμύρια αστέρια.
Το StarScout εντοπίζει χρήστες που εμφανίζουν ελάχιστη δραστηριότητα στο GitHub, όπως με αστέρι σε ένα μεμονωμένο χώρο φύλαξης, έχουν μοτίβα δραστηριότητας bot ή προσωρινών λογαριασμών και ομάδες λογαριασμών που ενεργούν συντονισμένα, όπως με αστέρι στα ίδια αποθετήρια σε σύντομο χρονικό διάστημα.
Η μέθοδός τους βασίζεται στο CopyCatch, έναν αλγόριθμο που έχει σχεδιαστεί για να ανιχνεύει δόλια μοτίβα στα κοινωνικά δίκτυα.
Πηγή: Arxiv.org
4,5 εκατομμύρια αστέρια ύποπτα ως ψεύτικα
Μετά την επεξεργασία των δεδομένων με την εφαρμογή αλγορίθμων υπογραφής χαμηλής δραστηριότητας και lockstep για τον εντοπισμό ύποπτων αστεριών στα αποθετήρια, η ομάδα βρήκε 4.530.000 ύποπτα μη αυθεντικά αστέρια που δόθηκαν από 1.320.000 λογαριασμούς σε 22.915 αποθετήρια.
Για να αυξήσουν την εμπιστοσύνη στην αληθινή φύση αυτών των αστεριών, οι ερευνητές φιλτραρίστηκαν πιθανά ψευδώς θετικά λαμβάνοντας υπόψη μόνο αποθετήρια με σημαντική ανώμαλη άνοδο της δραστηριότητας πρωταγωνιστών σε έναν μόνο μήνα και για τα οποία το ποσοστό των πλαστών ήταν πάνω από 10%, σε σύγκριση με ο συνολικός αριθμός των αστεριών.
Αυτό μείωσε το αποτέλεσμα σε 3.100.000 ψεύτικα αστέρια που δόθηκαν από 278.000 λογαριασμούς σε 15.835 αποθετήρια.
Πηγή: Arxiv.org
Από αυτούς, περίπου το 91% των αποθετηρίων και το 62% των ύποπτων μη αυθεντικών λογαριασμών διαγράφηκαν τον Οκτώβριο του 2024, γεγονός που υποστηρίζει την ακρίβεια του εργαλείου StarScout.
Η μελέτη δείχνει επίσης ότι η δραστηριότητα των ψεύτικων αστέρων αυξήθηκε το 2024, με περίπου το 15,8% των αποθετηρίων να έχουν πάνω από 50 αστέρια τον Ιούλιο του 2024 να εμπλέκονται σε αυτές τις κακόβουλες καμπάνιες.
Οι ερευνητές ανέφεραν τα αποθετήρια και τους λογαριασμούς που το StarScout αναγνώρισε ως μη αυθεντικά τον Ιούλιο του 2024 και το GitHub τα αφαίρεσε όλα. Ωστόσο, βρίσκονται ακόμη στη διαδικασία αξιολόγησης και αναφοράς πρόσθετων συστάδων που βρέθηκαν τον Νοέμβριο του 2024.
Πηγή: Arxiv.org
Οι συνέπειες των ψεύτικων αστεριών στο GitHub και στους χρήστες του είναι πολλαπλές, αλλά γενικά, το πρόβλημα διαβρώνει την εμπιστοσύνη στην πλατφόρμα και στα διάφορα έργα λογισμικού που φιλοξενούνται σε αυτήν.
Οι χρήστες θα πρέπει να κοιτάξουν παλιά αστέρια, να αξιολογήσουν τη δραστηριότητα και την ποιότητα του αποθετηρίου, να διαβάσουν την τεκμηρίωση, να εξετάσουν το περιεχόμενο και τις συνεισφορές και να ελέγξουν τον κώδικα, αν είναι δυνατόν.
Τα παραπλανητικά αποθετήρια GitHub είναι ευρέως διαδεδομένα και η πλατφόρμα έχει ακόμη και αξιοποιηθεί σε λειτουργίες που χρηματοδοτούνται από το κράτος, επομένως να είστε προσεκτικοί όταν κάνετε λήψη λογισμικού από αυτήν.
Η BleepingComputer επικοινώνησε με το GitHub για να μάθει περισσότερα σχετικά με τον τρόπο με τον οποίο η πλατφόρμα αντιμετωπίζει ενεργά το πρόβλημα των ψεύτικων αστέρων, αλλά ακόμα περιμένουμε την απάντησή τους.
VIA: Πηγή Άρθρου
Greek Live Channels Όλα τα Ελληνικά κανάλια: Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση; Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο. Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ
Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.
