Ein US-Forscherteam hat Millionen Sterne auf GitHub als verdächtig aufgedeckt. Die Betrugsmasche dient dem Promoten bösartiger Aktivitäten, um Phishing, Cheats, Crypto-Bots und letztendlich Malware zu verteilen. Zur Analyse entwickelten die Forscherinnen und Forscher das Tool StarScout. Als Fazit warnen sie davor, den Sternchen als alleiniges Qualitätsmerkmal zu vertrauen, und empfehlen, weitere Kriterien hinzuzuziehen.
Anzeige
In ihrer Studie analysieren die Forscherinnen und Forscher von der Carnegie Mellon University, von Socket Inc. und von der North Carolina State University alle Events der letzten fünf Jahre im GH Archive, einem BigQuery-Warehouse, das alle GitHub-Events archiviert: 60,54 Millionen User, 0,31 Milliarden Repositories, 0,61 Milliarden Sterne und 6,01 Milliarden andere Events – 20 Terabyte an Daten. Gesucht wurde nach abnormalem Verhalten in den Aktivitäten, insbesondere wenig Aktivität, diese aber im Gleichklang mit anderen Accounts. Das vom Team verwendete Verfahren basiert auf CopyCatch, das ursprünglich der Aufdeckung von Fake-Likes bei Facebook diente.
Mit dem CopyCatch-Verfahren analysiert StarScout die Daten aus dem GH Archive.
(Bild: Hao He u.a./Arxiv.org)
In einem ersten Schritt stieß StarScout auf 4,53 Millionen Fake Stars in 22.915 Repos, die von 1,32 Millionen Accounts erzeugt wurden. Von diesen Fakes zeigten 0,95 Millionen eine geringe Aktivität und 3,58 fielen unter das Gleichklang-Merkmal. Nach einer Bereinigung der Daten verblieben 15.835 Repos mit 3,1 Millionen Fakes, die von 278.000 Accounts stammten. Die meisten dieser Repos sind sehr kurzlebig und existieren nur wenige Tage. Mehr als 60 Prozent von ihnen tun nichts, außer Fake-Sterne zu verteilen.
Schon in der Vergangenheit gab es Probleme mit verseuchten Repositories und Fake-Stern-Kampagnen.
Als besonders besorgniserregend heben die Forscherinnen und Forscher hervor, dass Fake-Sternchen im Jahr 2024 im Vergleich zum Vorjahr um das Hundertfache zugenommen haben. Als Ziel der Kampagnen stellte das Team insbesondere die Verbreitung von Phishing, Game Cheats und Crypto-Bots fest. Aber "es ist wahrscheinlich, dass sie in Wirklichkeit Malware-Köder sind." Normalen Repos nutzt das Faken von Sternchen hingegen nichts, denn sie führen nur sehr kurzfristig zu einem Anstieg von echten Sternchen. Im Gegenteil: "Nach zwei Monaten tendieren Fake Stars zu einem negativen Effekt (insbesondere weniger Gewinn an echten Stars)."
Die Anzahl der verdächtigen Repos und User hat 2024 stark zugenommen (y-Achse ist exponenziell dargestellt).
(Bild: Hao He u.a./Arxiv.org)
Als Fazit schreiben die Forscherinnen und Forscher: "Der Star Count ist ein unzuverlässiges Qualitätszeichen und sollte nicht für höherwertige Entscheidungen verwendet werden, zumindest nicht allein." Es sei unerlässlich, andere Merkmale zu bewerten, beispielsweise die Scorecard der Open Source Security Foundation. Immerhin hat GitHub kurzfristig alle der noch vorhandenen Repositories gelöscht, die von der Forschergruppe gemeldet wurden.
(
Kommentare