Новости GitHub в осаде: миллионы фейковых звёзд наводнили платформу

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Фальшивый блеск исходного кода вводит в заблуждение неопытных разработчиков.


q3tfchfmpfq9f944dnf61qv5r4pgzxdw.jpg


Исследователи из компании Socket Для просмотра ссылки Войди или Зарегистрируйся на GitHub 3,7 миллиона фальшивых звёзд Для просмотра ссылки Войди или Зарегистрируйся что указывает на рост мошенничества и распространение вредоносного ПО на популярной платформе для разработчиков. За последние шесть месяцев масштабы этой проблемы стремительно увеличились.

Звёзды на GitHub часто служат первым показателем популярности проекта, однако из-за мошеннических схем это больше не надёжный критерий. Фальшивые звёзды продаются всего за 10 центов, что превращает их в инструмент для обмана пользователей и инвесторов. И хотя GitHub запрещает автоматическую массовую активность и поддельные учётные записи, эти действия по-прежнему широко распространены.

Главная опасность таких звёзд — мошеннические репозитории, которые маскируются под популярные проекты и содержат вредоносный код. Например, некоторые из подобных репозиториев нацелены на кражу криптовалют через скрытые команды. В числе других рисков — привлечение венчурных инвестиций в компании с поддельными показателями популярности, что ведёт к финансовым потерям ничего не подозревающих инвесторов.

Кроме того, фальшивые звёзды повышают рейтинг низкокачественных репозиториев, таких как списки примеров кода или шаблонов, что засоряет GitHub и сбивает с толку начинающих программистов.

Несмотря на усилия GitHub по удалению таких репозиториев, проблема остаётся актуальной: 11% сомнительных репозиториев остаются активными, а 28 из них и вовсе были помечены специалистами как содержащие вредоносное ПО.

Алгоритм, использованный для выявления фальшивых звёзд, базируется на анализе данных GitHub за последние пять лет. С его помощью удалось выявить более 10 тысяч репозиториев с подозрительными звёздами. GitHub уже удалил почти 90% от этих репозиториев, но всё ещё остаются тысячи, которые могут содержать вредоносное ПО или просто быть недобросовестными проектами.

Исследователи предлагают пользователям быть внимательными и проверять репозитории, не доверяя только количеству звёзд. Также на платформе была запущена новая система уведомлений о подозрительных звёздах, которая помогает выявлять потенциально опасные проекты и предотвращать риски в цепочке поставок программного обеспечения.

Ситуация со звёздами GitHub ярко иллюстрирует, как в наши дни даже самые надёжные показатели доверия могут быть скомпрометированы. Она напоминает нам о необходимости постоянной бдительности и критического мышления в онлайн-среде, где видимость популярности не всегда отражает истинную ценность или безопасность.
 
Источник новости
www.securitylab.ru

Похожие темы