GitHub با مشکلی در زمینه “ستارههای” غیرواقعی مواجه است که برای افزایش مصنوعی محبوبیت مخازن مرتبط با کلاهبرداری و توزیع بدافزار استفاده میشوند و به آنها کمک میکنند تا به کاربران بیاطلاع بیشتری دسترسی پیدا کنند.
ستارهها مشابه دکمههای “لایک” در وبسایتهای شبکههای اجتماعی هستند و به کاربران GitHub اجازه میدهند یک مخزن را به عنوان مورد علاقهشان علامتگذاری کنند. GitHub از ستارهها بهعنوان بخشی از یک سیستم رتبهبندی جهانی استفاده میکند و محتوای مرتبطی را به شما نشان میدهد که فکر میکند ممکن است آن را بپسندید.
شما میتوانید به مخازن و موضوعات ستاره بدهید تا پروژههای مشابه را در GitHub کشف کنید. هنگامی که به مخازن یا موضوعات ستاره میدهید، GitHub ممکن است محتوای مرتبط را در داشبورد شخصی شما پیشنهاد کند.
تابستان سال گذشته، شرکت Check Point یک شبکه بدافزاری به نام ‘Stargazers Ghost Network’ را کشف کرد که از کاربران جعلی و ستارههای غیرواقعی برای ترویج پروژههای مخرب و پخش بدافزارهای سرقت اطلاعات استفاده میکرد.
برخی پروژههای قانونی و غیرمخرب نیز برای افزایش دیدهشدن و جذب کاربران واقعی، از ستارههای جعلی بهعنوان یک تاکتیک بازاریابی استفاده میکنند تا محبوبتر به نظر برسند و در نهایت کاربران واقعی به آنها توجه کنند.
یک مطالعهی جدید که توسط پژوهشگرانی از Socket، دانشگاه کارنگی ملون و دانشگاه ایالتی کارولینای شمالی انجام شده، دید بهتری از ابعاد این مشکل به ما میدهد. این مطالعه نشان داده که ۴.۵ میلیون ستاره در گیتهاب مشکوک به جعلی بودن هستند.
در جستجوی ستارههای جعلی
پژوهشگران با استفاده از ابزاری به نام StarScout و تحلیل دادههای ۲۰ ترابایت از GHArchive به جستجوی ستارههای جعلی در GitHub پرداختهاند.
GHArchive دادههای مربوط به بیش از ۶ میلیارد رویداد در GitHub از سال ۲۰۱۹ تا ۲۰۲۴ را شامل میشود که شامل ۶۰.۵ میلیون اقدام کاربری، ۳۱۰ میلیون مخزن و ۶۱۰ میلیون ستاره است.
StarScout قادر است کاربران مشکوک را که بهطور غیرطبیعی فعالیت میکنند (مانند ستاره دادن به یک مخزن تنها یا استفاده از حسابهای رباتیک) شناسایی کند، و همچنین گروههای حسابهایی که بهطور هماهنگ و سریع به مخازن مشابه ستاره میدهند.
روش مورد استفاده بر اساس الگوریتم CopyCatch است که برای شناسایی فعالیتهای تقلبی در شبکههای اجتماعی طراحی شده است.
۴.۵ میلیون ستاره مشکوک به جعلی بودن
پس از پردازش دادهها با استفاده از الگوریتمهای الگوی فعالیت پایین و هماهنگسازی برای شناسایی ستارههای مشکوک در سراسر مخازن، تیم ۴,۵۳۰,۰۰۰ ستاره مشکوک به جعلی بودن را شناسایی کرد که توسط ۱,۳۲۰,۰۰۰ حساب در ۲۲,۹۱۵ مخزن داده شده بود.
برای اطمینان بیشتر از جعلی بودن ستارهها، پژوهشگران تنها مخازنی را بررسی کردند که در یک ماه خاص افزایش غیرعادی در ستاره دادن داشتند و درصد ستارههای جعلی در آنها بیش از ۱۰% بود.
پس از فیلتر کردن نتایج، تعداد ستارههای جعلی به ۳,۱۰۰,۰۰۰ رسید که توسط ۲۷۸,۰۰۰ حساب به ۱۵,۸۳۵ مخزن داده شده بود.
از این تعداد، تقریباً ۹۱٪ از مخازن و ۶۲٪ از حسابهای مشکوک به جعلی بودن تا اکتبر ۲۰۲۴ حذف شدند، که این موضوع دقت ابزار StarScout را تایید میکند.
مطالعه همچنین نشان میدهد که فعالیت ستارههای جعلی در سال ۲۰۲۴ افزایش یافته است، بهطوریکه تقریباً ۱۵.۸٪ از مخازن که در ژوئیه ۲۰۲۴ بیش از ۵۰ ستاره داشتند، در این کمپینهای مخرب درگیر بودهاند.
پژوهشگران مخازن و حسابهایی را که StarScout در ژوئیه ۲۰۲۴ بهعنوان غیرواقعی شناسایی کرده بود، گزارش کردند و گیتهاب همه آنها را حذف کرد. با این حال، آنها هنوز در حال ارزیابی و گزارش خوشههای اضافی شناساییشده در نوامبر ۲۰۲۴ هستند.
پیامدهای ستارههای جعلی در گیتهاب و کاربران آن متعدد است، اما بهطور کلی، این مشکل اعتماد به پلتفرم و پروژههای نرمافزاری مختلف میزبانیشده در آن را تضعیف میکند.
برای ارزیابی یک پروژه در گیتهاب، باید علاوه بر ستارهها، فعالیت مخزن، مستندات، محتوا، مشارکتها و کد آن را بررسی کرد.
مخازن فریبکارانه در گیتهاب شایع هستند و حتی برخی دولتها از آن برای اهداف مخرب استفاده کردهاند، بنابراین هنگام دانلود نرمافزار از این پلتفرم باید احتیاط کنید.
