GitHub заполонили около 4,5 млн фейковых оценок

Исследования, проведенные учеными из Университета Карнеги Меллон, Университета штата Северная Каролина и компании Socket Inc., показали, что на платформе GitHub имеется свыше 4,5 млн поддельных оценок репозиториев. Это создает путаницу среди разработчиков и облегчает злоумышленникам распространение вредоносного ПО.

На GitHub пользователи могут ставить звезды, оценивая полезность репозиториев. Однако звезды можно приобрести на сторонних ресурсах и получить их через автоматизированные бот-программы. Одна положительная оценка стоит $0,10, что позволяет манипулировать мнением пользователей и создавать ложное ощущение поддержки.

Злоумышленники создают репозитории с вредоносным кодом и усиливают их рейтинг с помощью ботов, что может привести к тому, что безразличные разработчики применяют этот код в своих проектах, а злоумышленники – получают доступ к ценным данным.

В ответ на эти угрозы исследователи разработали утилиту StarScout, которая анализирует пользователей, ставящих оценки репозиториям. Инструмент оценивает активность профилей, какие проекты они отмечают звездами и как их поведение пересекается с другими пользователями. В ходе анализа выяснили, что с 2019 по 2024 годы около 4,5 млн оценок были выставлены ботами. Из 15,8 тыс. проверенных репозиториев более 70% оказались фишинговыми.

Разработчикам настоятельно рекомендуется не полагаться исключительно на количество звезд при выборе репозиториев, а вместо этого обращать внимание на активность участников проекта.

Ранее сообщалось, что группа Headhunter (hh.ru), владеющая одноименным рекрутинговым сервисом, совместно с ИТ-отраслью намерена создать единую систему оценки соответствующих специалистов в России.