На GitHub нашли 4.5 млн накрученных звезд. И это огромная проблема для разработчиков

GitHub столкнулся с масштабной проблемой: миллионы звёзд на платформе оказались накрученными.

Исследование, проведённое учёными из Университета Карнеги-Меллона и Университета штата Северная Каролина, показало, что злоумышленники активно используют накрутку для продвижения вредоносных репозиториев.

Как работает накрутка?

Звёзды на GitHub являются важным показателем популярности проектов, но их можно купить за $0.10 за штуку через специализированные сервисы.

Накрутка позволяет мошенникам привлекать внимание к проектам с вредоносным кодом или фишингом. По данным исследования, накручивали звёзды 15 835 репозиториев, из которых более 70% содержали опасное ПО.

Пример из исследования: один из популярных репозиториев рекламировал себя как инструмент для криптотрейдинга, но на деле оказался мошенническим.

Как это обнаружили?

Для выявления фальшивых звёзд был разработан инструмент StarScout, анализирующий аномалии активности.

Например, массовое проставление звёзд группами малоактивных аккаунтов за короткий период. StarScout помог выявить более 4.5 млн накрученных звёзд с 2019 по 2024 год.

Что делать?

Эксперты рекомендуют:

1. Проверять не только звёзды, но и активность сообщества: пул-реквесты, обсуждения, обновления.
2. Использовать метрики вроде OpenSSF Scorecards для комплексной оценки безопасности репозиториев.
3. Усилить модерацию на платформе: GitHub планирует внедрение систем, учитывающих разнообразие активности аккаунтов.