Исследователи Университета Карнеги Меллон, Университета штата Северной Каролины и компании Socket Inc. выяснили, что на GitHub существует более 4,5 миллиона поддельных оценок репозиториев. Это явление создает путаницу среди разработчиков и облегчает злоумышленникам распространение вредоносного программного обеспечения.
На платформе GitHub пользователи могут оценивать полезные репозитории, ставя им звезды. Однако звезды можно приобрести на сторонних ресурсах и получать через автоматизированные боты. Одна положительная оценка стоит всего 0,10 долларов, что позволяет манипулировать общественным мнением и создавать ложное ощущение поддержки со стороны сообщества.
Злоумышленники активно используют эту схему, создавая репозитории с вредоносным кодом и повышая их рейтинг с помощью фейковых оценок. В результате, неопытные разработчики могут случайно интегрировать такой код в свои проекты, что приводит к возможной утечке конфиденциальных данных.
Чтобы противостоять таким угрозам, исследователи разработали утилиту под названием StarScout. Этот инструмент позволяет анализировать активность пользователей, ставящих оценки, учитывая их профиль, отмеченные проекты и пересечения с другими пользователями. В ходе анализа было установлено, что с 2019 по 2024 годы боты выставили около 4,5 миллионов оценок. Из 15,8 тысяч проанализированных репозиториев более 70% оказались фишинговыми.
Разработчики настоятельно рекомендуются не ориентироваться исключительно на количество звезд в своих оценках репозиториев. Вместо этого им следует обратить внимание на активность и вклад участников проекта. Такое подход помогает минимизировать риски и защитить свои проекты от вредоносного кода.
Данная проблема становится все более актуальной на фоне глобальных угроз в сфере кибербезопасности. Ранее сообщалось, что группа Headhunter (hh.ru), владеющая одноименным рекрутинговым сервисом, совместно с ИТ-отраслью намерена разработать единую систему оценки специалистов в России, что также подчеркивает необходимость знаний о надежности и репутации разработчиков.