- Los investigadores encontraron 4,5 millones de estrellas falsas en GitHub
- La calificación y las recomendaciones de la plataforma dependen en gran medida de las estrellas.
- Se insta a los usuarios a considerar mucho más que solo el número de estrellas.
Una nueva investigación ha revelado cuán extendidas están las estrellas falsas en la plataforma GitHub, lo que podría resultar peligroso al aumentar la visibilidad de los repositorios maliciosos asociados con actividades fraudulentas.
Al igual que los Me gusta en las redes sociales, las estrellas permiten a los usuarios mostrar su apoyo a los grupos. Cuantas más estrellas se den, más probabilidades habrá de que aparezca en el sistema de clasificación y recomendaciones globales de GitHub, ampliando su alcance a más usuarios desprevenidos.
Sabiendo esto, los actores de amenazas han procedido a crear cuentas automatizadas para destacar artificialmente sus dudosos repositorios y propagar malware.
Las calificaciones de estrellas de GitHub ayudan a difundir malware
La empresa confirma una pagina de ayuda: “Muchas de las calificaciones de los repositorios de GitHub dependen de la cantidad de estrellas que tiene un repositorio. Además, Explore GitHub muestra repositorios populares según la cantidad de estrellas que tienen”.
nuevo aprender Publicado en diciembre de 2024 por investigadores de la Universidad Carnegie Mellon, Socket Inc y la Universidad Estatal de Carolina del Norte revela que 4,5 millones de estrellas en la plataforma se consideran no auténticas. Resume el problema como “una amenaza generalizada y creciente que ocurre en una plataforma central para el desarrollo moderno de software de código abierto” y describe los repositorios de GitHub como “canales de distribución de facto para componentes de software”.
En total, alrededor de 4,5 millones de estrellas en casi 23.000 repositorios se atribuyeron a 1,32 millones de cuentas, lo que pone de relieve cuán extendido está el problema en la plataforma.
El estudio también observó un aumento en la actividad de estrellas falsas durante 2024, y GitHub ya está tomando medidas para lidiar con usuarios y repositorios dudosos.
Anteriormente utilizado como medida de qué tan bueno es un repositorio, ahora se anima a los usuarios de GitHub a considerar otros factores, como su actividad, autenticidad y calidad del código.