Fake GitHub likes are used to spread malware.

Beachten Sie beim Überprüfen eines Softwareprojekts auf GitHub nicht automatisch viele Sterne als Indikator von Qualität. Eine neue Studie der Forscher an der Carnegie Mellon University, Socket und der North Carolina State University hat die Verwendung gefälschter Sterne zur Förderung schädlicher GitHub-Repositorys hervorgehoben.

GitHub ist einer der beliebtesten Websites für die Hostung von Softwareprojekten und Downloads, von Windows Terminal bis 7-Zip. Menschen können ein Repository 'sternen', was ähnlich wie eine 'Like' auf sozialen Medien funktioniert. Projekte mit vielen Sternen werden manchmal auf der GitHub-Hausseite und an anderen Stellen angezeigt.

Es gibt einige Berichte von schädlichen Akteuren, die Tausende von Sterne zu gefälschten Projekten hinzufügen, um Schadsoftware zu verbreiten. Aber ein neuer Forschungspapier fügt mehr Einblicke in das Problem ein. Es erklärt, dass gefälschte GitHub-Sterne aus „Bots, von der Menge gezogenen Menschen und Plattformen stammen, wo Benutzer Sterne durch eine Belohnung austauschen“, und anderen ähnlichen Methoden. Die Sterne werden für „Wachstumshacking“ gekauft, manchmal um VCs zu fesseln, sowie um Repositorys mit Schadsoftware zu promouieren. Das Papier erklärt: „Repositorys mit gefälschten Sterne haben einen unangemessenen Vorteil im GitHub-Popularitätswettbewerb, der danach in verschiedenen Weisen genutzt werden kann, um Stakeholder in der Software-Supplie-Chainschädlich zu sein.

Die Forscher haben ein Werkzeug namens „StarScout“ entwickelt, das Repositories und GitHub-Konten durchsucht, um wahrscheinliche Fälschungsmuster zu erkennen, indem es Datenbankabgabetasche den letzten fünf Jahren verwendet. Die Ausgabe von StarScout schätzt, dass Angriffe mit fälschten Sternebewertungen zunehmen und hat etwa 4,5 Millionen fälschte Sterne in allen durchsuchten Repositories gefunden. Einige der Projekte mit fälschten Sternen erscheinen als „piratierte Software, Spielhacks und Kryptowährungsbot“, aber mit Schadsoftware verborgen im Code.

Der Bericht besagt: 'Die Anzahl der fälschten Sterneaktivitäten hat seit 2022 steigert sich und stieg in 2024 (notieren Sie bitte, dass die y-Achsen im Logarithmus verändert sind): Die meisten Monate vor 2022 zeigten höchstens 10 Repositorys an fälschten Sterneaktivitäten, aber die Zahlen steigen 2022 und 2023 auf ein Dutzend und weiter auf Tausende in 2024. Diese Aktivitäten erreichten ihren Peak im Juli 2024 in unserem Datensatz, als es 3.216 Repositorys mit fälschten Sterneaktivitäten und 30.779 Teilnehmer gab.

Dies betrifft hauptsächlich Softwareentwickler, betrifft aber auch jeden, der Sterne auf GitHub-Projekten als Indikator für Qualität, Sicherheit oder Popularität verwendet. Wenn Sie nicht sicher sind, ob das von Ihnen betrachtete App oder Projekt echt ist, überprüfen Sie die Issues-Seite (die Forscher fanden einige schädliche Repositorys mit Warnungen der Benutzer als Probleme) und suchen Sie Links auf anderen vertrauenswürdigen Websites wie Wikipedia.