manipulan el sistema de puntuación de GitHub para promover malware

GitHub, la plataforma líder de explicación de software de código descubierto, se enfrenta en los últimos tiempos a una amenaza que pone en duda la confianza que los usuarios vienen depositando en la misma: su sistema de medición de la popularidad y calidad de los proyectos está siendo manipulado para inflar artificialmente la reputación de repositorios maliciosos.

La fragilidad del sistema de estrellas

El sistema de estrellas es, para GitHub, equivalente a los "me gusta" en redes sociales, con la salvedad de que sirven para valorar no publicaciones sueltas, sino proyectos de software en su totalidad, dando a los usuarios la opción de destacar aquellos que consideran más valiosos.

Sin requisa, lo que alguna vez fue un indicador fiable a la hora de descargar aplicaciones (o de reutilizar código) en el que es el longevo repositorio de software del mundo, se ha convertido ahora en una útil para engañar a los usuarios.

Al menos, eso es lo que revela un flamante documentación (PDF) de investigadores universitarios estadounidenses, que han identificado más de 4,5 millones de estrellas falsas asociadas a un total de 15.835 repositorios entre 2019 y 2024.

Una posible opción

Para detectar (y, potencialmente, combatir) este aberración, el equipo de investigadores desarrolló StarScout, una útil descubierta capaz de identificar estrellas sospechosas en GitHub. Esta útil utiliza dos enfoques principales:

1. Heurística de devaluación actividad: Detecta cuentas que interactúan mínimamente con la plataforma y solo se dedican a otorgar estrellas.
2. Heurística de agrupación: Identifica patrones de actividad coordinada entre múltiples cuentas.

Cómo funcionan estas campañas

Estas estrellas fraudulentas se generan a través de bots, plataformas de intercambio de clics y usuarios incentivados por tramas de ciberestafa. Los motivos detrás de estas campañas son muy diversos: desde la promoción de software zorro hasta la búsqueda de financiación por parte de fondos de renta de peligro.

En cualquier caso, esta manipulación ha conducido a que algunos repositorios peligrosos (que esconden código zorro diseñado para robar información confidencial o criptomonedas de los usuarios, pero oculto como software razonable) ostenten un punto destacado en la plataforma, multiplicando así los riesgos para los usuarios.

El problema se ha intensificado en los últimos primaveras. En julio de 2024, se registró un pico inquietante: 3.216 repositorios con campañas de estrellas falsas y 30.779 usuarios participando en estas actividades fraudulentas.

Los investigadores subrayan que estos repositorios suelen ser de corta duración, desapareciendo luego de acaecer infectado a suficientes usuarios.

¿Cómo afecta a la comunidad de desarrolladores?

El uso indebido del sistema de estrellas tiene implicaciones graves para los desarrolladores, y para las organizaciones que integran software de código descubierto en sus proyectos. Muchos programadores confían en las estrellas para evaluar rápidamente la calidad de un repositorio... poco que deberían replantearse ahora que sabemos que, el 15,8% de los repositorios con más de 50 estrellas (datos de julio de 2024) estaban vinculados a campañas fraudulentas.

Recomendaciones para los usuarios

Delante este panorama, los expertos sugieren a los usuarios de GitHub que tomen las siguientes precauciones:

1. No encomendar exclusivamente en las estrellas: Las estrellas ya no son un indicador fiable de calidad.
2. Revisar las páginas de problemas (issues): A menudo, otros usuarios advierten sobre posibles amenazas en estas secciones.
3. Efectuar la licitud del esquema: Despabilarse referencias del repositorio en sitios confiables como Wikipedia o por referencias en redes sociales, así como repasar la existencia de webs oficiales.

Imagen | Marcos Merino mediante IA
En Genbeta | GitHub tiene miles de cuentas espectro que difunden malware… y pertenecen a una red de cuota para delincuentes. Así engañan al favorecido