- 20,332
- 46
- 8 Ноя 2022
Разработчики верят звёздам, а зря.
Исследователи из Школы компьютерных наук Университета Карнеги-Меллона представили результаты масштабного анализа, показавшего, что система «звёзд» на GitHub, традиционно служившая индикатором популярности и доверия к проектам, оказалась подорванной массовым использованием накруток. С июля 2019 года по декабрь 2024-го специалисты зафиксировали около 6 миллионов фальшивых отметок, которые выдавались за реальные рекомендации.
Учёные выяснили, что рост таких практик начался в 2022 году, а пик пришёлся на июль 2024 года, когда более 16% репозиториев оказались связаны с кампаниями по искусственному увеличению числа звёзд. Продавцы услуг предлагают как прямую покупку, так и обмен на специализированных площадках. Чаще всего цель — быстро создать видимость популярности, но значительная часть накруток используется в куда более опасных схемах. С помощью поддельных звёзд злоумышленники выводят в топ проекты, которые крадут криптовалюту , похищают учётные данные или маскируют вредоносный код под полезные программы.
В одном из случаев жертвам предлагали приложение для блокчейна, которое на деле было трояном, выводящим средства со счетов. Другой вектор связан с цепочкой поставок ПО: к популярным библиотекам добавляют скрытые вредоносные фрагменты, чтобы они попали в широкий спектр проектов. Авторы напомнили о прошлогодней атаке XZ Backdoor, когда злоумышленник почти 2 года добивался доверия сообщества XZ Utils, а затем внедрил бэкдор в широко используемый пакет. Обнаружить закладку удалось лишь случайно, после некорректных результатов тестов, благодаря внимательности инженера. Хотя в том эпизоде поддельные звёзды роли не играли, сама ситуация наглядно демонстрирует, как тяжело отличить безопасный проект от опасного, если рейтинговая система легко подделывается.
Команда с помощью специального инструмента, отслеживающего подозрительное поведение на платформе, смогла выявить накрутки. Среди признаков — аккаунты без активности и информации в профиле либо массовая синхронная выдача звёзд множеством учётных записей за короткий промежуток времени. Такие действия особенно характерны для продавцов накрученных рейтингов. По словам авторов, быстрая доставка обязательна для сохранения клиента, поэтому целые группы ботов работают практически одновременно.
Учёные считают, что GitHub следует пересмотреть роль «звёзд» в системе репутации . Один из вариантов — учитывать отметки только от проверенных пользователей с долгой историей активности. Дополнительно предлагается использовать отслеживающие инструменты на постоянной основе. Работа специалистов принята к представлению на конференции 2026 International Conference of Software Engineering.
Исследователи из Школы компьютерных наук Университета Карнеги-Меллона представили результаты масштабного анализа, показавшего, что система «звёзд» на GitHub, традиционно служившая индикатором популярности и доверия к проектам, оказалась подорванной массовым использованием накруток. С июля 2019 года по декабрь 2024-го специалисты зафиксировали около 6 миллионов фальшивых отметок, которые выдавались за реальные рекомендации.
Учёные выяснили, что рост таких практик начался в 2022 году, а пик пришёлся на июль 2024 года, когда более 16% репозиториев оказались связаны с кампаниями по искусственному увеличению числа звёзд. Продавцы услуг предлагают как прямую покупку, так и обмен на специализированных площадках. Чаще всего цель — быстро создать видимость популярности, но значительная часть накруток используется в куда более опасных схемах. С помощью поддельных звёзд злоумышленники выводят в топ проекты, которые крадут криптовалюту , похищают учётные данные или маскируют вредоносный код под полезные программы.
В одном из случаев жертвам предлагали приложение для блокчейна, которое на деле было трояном, выводящим средства со счетов. Другой вектор связан с цепочкой поставок ПО: к популярным библиотекам добавляют скрытые вредоносные фрагменты, чтобы они попали в широкий спектр проектов. Авторы напомнили о прошлогодней атаке XZ Backdoor, когда злоумышленник почти 2 года добивался доверия сообщества XZ Utils, а затем внедрил бэкдор в широко используемый пакет. Обнаружить закладку удалось лишь случайно, после некорректных результатов тестов, благодаря внимательности инженера. Хотя в том эпизоде поддельные звёзды роли не играли, сама ситуация наглядно демонстрирует, как тяжело отличить безопасный проект от опасного, если рейтинговая система легко подделывается.
Команда с помощью специального инструмента, отслеживающего подозрительное поведение на платформе, смогла выявить накрутки. Среди признаков — аккаунты без активности и информации в профиле либо массовая синхронная выдача звёзд множеством учётных записей за короткий промежуток времени. Такие действия особенно характерны для продавцов накрученных рейтингов. По словам авторов, быстрая доставка обязательна для сохранения клиента, поэтому целые группы ботов работают практически одновременно.
Учёные считают, что GitHub следует пересмотреть роль «звёзд» в системе репутации . Один из вариантов — учитывать отметки только от проверенных пользователей с долгой историей активности. Дополнительно предлагается использовать отслеживающие инструменты на постоянной основе. Работа специалистов принята к представлению на конференции 2026 International Conference of Software Engineering.
- Источник новости
- www.securitylab.ru
