Исследователи из компании Socket обнаружилина GitHub 3,7 миллиона фальшивых звёзд GitHub Stars, что указывает на рост мошенничества и распространение вредоносного ПО на популярной платформе для разработчиков. За последние шесть месяцев масштабы этой проблемы стремительно увеличились.
Звёзды на GitHub часто служат первым показателем популярности проекта, однако из-за мошеннических схем это больше не надёжный критерий. Фальшивые звёзды продаются всего за 10 центов, что превращает их в инструмент для обмана пользователей и инвесторов. И хотя GitHub запрещает автоматическую массовую активность и поддельные учётные записи, эти действия по-прежнему широко распространены.
Главная опасность таких звёзд – мошеннические репозитории, которые маскируются под популярные проекты и содержат вредоносный код. Например, некоторые из подобных репозиториев нацелены на кражу криптовалют через скрытые команды. В числе других рисков – привлечение венчурных инвестиций в компании с поддельными показателями популярности, что ведёт к финансовым потерям ничего не подозревающих инвесторов.
Кроме того, фальшивые звёзды повышают рейтинг низкокачественных репозиториев, таких как списки примеров кода или шаблонов, что засоряет GitHub и сбивает с толку начинающих программистов.
Несмотря на усилия GitHub по удалению таких репозиториев, проблема остаётся актуальной: 11% сомнительных репозиториев остаются активными, а 28 из них и вовсе были помечены специалистами как содержащие вредоносное ПО.
Алгоритм, использованный для выявления фальшивых звёзд, базируется на анализе данных GitHub за последние пять лет. С его помощью удалось выявить более 10 тысяч репозиториев с подозрительными звёздами. GitHub уже удалил почти 90% от этих репозиториев, но всё ещё остаются тысячи, которые могут содержать вредоносное ПО или просто быть недобросовестными проектами.
Исследователи предлагают пользователям быть внимательными и проверять репозитории, не доверяя только количеству звёзд. Также на платформе была запущена новая система уведомлений о подозрительных звёздах, которая помогает выявлять потенциально опасные проекты и предотвращать риски в цепочке поставок программного обеспечения.
Ситуация со звёздами GitHub ярко иллюстрирует, как в наши дни даже самые надёжные показатели доверия могут быть скомпрометированы. Она напоминает нам о необходимости постоянной бдительности и критического мышления в онлайн-среде, где видимость популярности не всегда отражает истинную ценность или безопасность.