Sommario
Un recente studio, pubblicato da ricercatori di Carnegie Mellon University e altre istituzioni, affronta il fenomeno in crescita delle “fake stars” su GitHub. Questo comportamento, utilizzato per manipolare la percezione di popolarità dei repository, presenta implicazioni significative per la sicurezza della supply chain software e la fiducia nella piattaforma.
La crescita delle fake stars su GitHub
Le “fake stars” rappresentano un tentativo deliberato di gonfiare artificialmente il numero di stelle ricevute da un repository. Questo segnale, spesso utilizzato dagli sviluppatori per valutare l’affidabilità di un progetto, può essere acquistato a prezzi che variano tra 0,10 e 2,00 dollari per stella. Queste pratiche sono cresciute rapidamente dal 2024, con un picco che ha coinvolto oltre il 15% dei repository con almeno 50 stelle in un mese.
I motivi alla base di queste campagne includono:
- Promozione di malware: Repository che mascherano software dannosi come strumenti legittimi, come cheat per videogiochi o bot per criptovalute.
- Manipolazione della percezione: Alcuni repository utilizzano stelle false per attirare attenzione iniziale, sperando di guadagnare utenti reali. Tuttavia, questo effetto promozionale è breve, durando in media meno di due mesi.
- Frode nei curriculum: Sviluppatori che gonfiano i propri profili GitHub per aumentare la loro attrattiva sul mercato del lavoro.
La tecnologia StarScout
Per analizzare il fenomeno, i ricercatori hanno sviluppato StarScout, uno strumento che identifica comportamenti sospetti nelle attività di “starring”. Questo software analizza firme come:
- Attività ridotta: Account che eseguono azioni minime oltre a lasciare stelle.
- Comportamenti sincronizzati: Gruppi di account che interagiscono con repository in modo coordinato, simulando attività reale.
Applicando StarScout ai dati di GitHub dal 2019 al 2024, sono state identificate oltre 4,5 milioni di stelle sospette, distribuite su 15.835 repository.
Implicazioni per la sicurezza e la comunità open source
Le “fake stars” non solo minano la fiducia nella metrica di popolarità di GitHub, ma rappresentano anche un rischio per la sicurezza. Repository con stelle falsificate possono promuovere malware o manipolare il panorama delle librerie open source, con potenziali impatti sulla sicurezza di progetti downstream.
Lo studio suggerisce l’implementazione di meccanismi più robusti per rilevare attività anomale e migliorare i segnali di popolarità su GitHub. Le piattaforme devono affrontare queste sfide collaborando con la comunità open source per prevenire abusi futuri.
Il fenomeno delle “fake stars” evidenzia l’importanza di monitorare i segnali di popolarità online. Con strumenti come StarScout, la comunità può identificare e mitigare i rischi, garantendo che GitHub rimanga un ambiente sicuro e affidabile per lo sviluppo open source.
