GitHub’ın, sahtekarlık ve kötü amaçlı yazılım dağıtım depolarının popülaritesini yapay olarak şişirerek daha popüler görünmelerini sağlamak ve daha fazla şüphelenmeyen kullanıcıya ulaşmalarına yardımcı olmak için kullanılan orijinal olmayan “yıldızlar” ile ilgili bir sorunu var.
Yıldızlar, sosyal medya sitelerindeki “Beğen” düğmelerine benzer ve GitHub kullanıcılarının bir veri havuzunu favorilerine eklemesine olanak tanır. GitHub, yıldızları küresel sıralama sisteminin bir parçası olarak ve beğenebileceğinizi düşündüğü ilgili içeriği size göstermek için kullanır.
GitHub, “GitHub’da benzer projeleri keşfetmek için depolara ve konulara yıldız ekleyebilirsiniz. Depolara veya konulara yıldız eklediğinizde GitHub, kişisel kontrol panelinizde ilgili içeriği önerebilir” diye açıklıyor.
Sorun daha önce de belgelenmişti; Check Point’in geçen yaz, bilgi çalan kötü amaçlı yazılımları dağıtmak için sahte projelere öncülük eden orijinal olmayan kullanıcılardan oluşan kapsamlı bir ağ kullanan ‘Stargazers Ghost Network’ adlı bir kötü amaçlı yazılım dağıtım hizmetini ortaya çıkardığı zaman olduğu gibi.
Kötü amaçlı olmayan projeler ayrıca popülerliklerini artırmak, erişimlerini artırmak ve meşru kullanıcıların dikkatini, gerçek yıldızları ve benimsenmeyi çekmek için sahte yıldızları kullanır.
Socket, Carnegie Mellon Üniversitesi ve North Carolina Eyalet Üniversitesi’ndeki araştırmacılar tarafından yürütülen yeni bir çalışma, GitHub’da sahte olduğundan şüphelenilen 4,5 milyon yıldızın bulunmasıyla bize sorunun boyutu hakkında daha iyi bir fikir veriyor.
Kaynak: Arxiv.org
Sahte yıldız arıyorum
Araştırmacılar, orijinal olmayan yıldızları bulmak amacıyla ‘GHArchive’dan gelen 20 TB veriyi analiz etmek için ‘StarScout’ adlı bir araç geliştirdi ve kullandı.
GHArchive, 310 milyon depodaki 60,5 milyon kullanıcı işlemi ve 610 milyon yıldız dahil olmak üzere Temmuz 2019’dan Ekim 2024’e kadar 6 milyardan fazla GitHub etkinliğinin meta verilerini içerir.
StarScout, GitHub’da tek bir depoyu yıldızlamak gibi minimum düzeyde etkinlik gösteren, bot veya geçici hesap etkinliği kalıplarına sahip olan kullanıcıları ve kısa bir süre içinde aynı depoları yıldızlamak gibi koordinasyon içinde hareket eden hesap gruplarını tespit eder.
Yöntemleri, sosyal ağlardaki sahtekarlık kalıplarını tespit etmek için tasarlanmış bir algoritma olan CopyCatch’e dayanıyor.
Kaynak: Arxiv.org
4,5 milyon yıldızın sahte olduğundan şüpheleniliyor
Ekip, depolardaki şüpheli yıldızları tespit etmek için düşük aktivite ve kilit adımlı imza algoritmaları uygulayarak verileri işledikten sonra, 22.915 depodaki 1.320.000 hesap tarafından verilen 4.530.000 şüpheli gerçek olmayan yıldız buldu.
Bu yıldızların gerçek doğasına olan güveni artırmak için araştırmacılar, yalnızca tek bir ay içinde yıldız verme etkinliğinde önemli bir anormal artış gösteren ve sahtelik yüzdesinin %10’un üzerinde olduğu depoları göz önünde bulundurarak potansiyel yanlış pozitifleri filtrelediler. toplam yıldız sayısı.
Bu, sonucu 278.000 hesap tarafından 15.835 depoya verilen 3.100.000 sahte yıldıza düşürdü.
Kaynak: Arxiv.org
Bunlardan veri havuzlarının kabaca %91’i ve orijinal olmadığından şüphelenilen hesapların %62’si Ekim 2024 itibarıyla silinmiştir, bu da StarScout aracının doğruluğunu desteklemektedir.
Çalışma aynı zamanda sahte yıldız faaliyetinin 2024’te arttığını ve Temmuz 2024’te 50’den fazla yıldıza sahip depoların yaklaşık %15,8’inin bu kötü niyetli kampanyalara dahil olduğunu gösteriyor.
Araştırmacılar, Temmuz 2024’te StarScout’un orijinal olmadığı belirlenen depoları ve hesapları bildirdi ve GitHub bunların hepsini kaldırdı. Ancak hâlâ Kasım 2024’te bulunan ek kümeleri değerlendirme ve raporlama sürecindeler.
Kaynak: Arxiv.org
Sahte yıldızların GitHub ve kullanıcıları üzerindeki etkileri çoktur, ancak genel olarak sorun, platforma ve üzerinde barındırılan çeşitli yazılım projelerine olan güveni yıpratıyor.
Kullanıcılar geçmiş yıldızlara bakmalı, depo etkinliğini ve kalitesini değerlendirmeli, belgeleri okumalı, içerik ve katkıları incelemeli ve mümkünse kodu incelemelidir.
Yanıltıcı GitHub depoları yaygındır ve platform devlet destekli operasyonlarda bile istismar edilmiştir; bu nedenle buradan yazılım indirirken dikkatli olun.
BleepingComputer, platformun sahte yıldız sorunuyla aktif olarak nasıl mücadele ettiği hakkında daha fazla bilgi edinmek için GitHub ile iletişime geçti ancak biz hâlâ onların yanıtını bekliyoruz.