في المرة القادمة التي تقوم فيها بفحص مشروع برمجي على GitHub، لا تفترض وجود الكثير من النجوم كمؤشر للجودة. أشارت دراسة جديدة أجراها باحثون في جامعة كارنيجي ميلون وسوكيت وجامعة ولاية كارولينا الشمالية إلى كيفية استخدام النجوم المزيفة لتعزيز مستودعات GitHub الضارة.
جيثب يعد أحد أشهر المواقع لاستضافة مشاريع البرامج وتنزيلها، لكل شيء من محطة ويندوز ل 7-الرمز البريدي. يمكن للأشخاص “تمييز” المستودع بنجمة، وهو ما يشبه “الإعجاب” على منصات الوسائط الاجتماعية، ويتم أحيانًا عرض المشاريع التي تحتوي على العديد من النجوم في الصفحة الرئيسية لـ GitHub وأماكن أخرى.
كانت هناك بعض التقارير عن تضيف الجهات الفاعلة الخبيثة آلاف النجوم إلى المشاريع المزيفة لدفع البرمجيات الخبيثة، ولكن ورقة بحثية جديدة تضيف المزيد من المعرفة للمشكلة. ويوضح أن نجوم GitHub المزيفة يتم الحصول عليها من “الروبوتات، والبشر الجماعيين، ومنصات التبادل حيث يتبادل المستخدمون النجوم مقابل مكافأة”، وطرق أخرى مماثلة. يتم شراء النجوم من أجل “اختراق النمو”، أحيانًا لجذب تمويل رأس المال الاستثماري، بالإضافة إلى الترويج للمستودعات التي تحتوي على برامج ضارة. توضح الورقة أن “المستودعات ذات النجوم المزيفة تكتسب ميزة غير عادلة في مسابقة شعبية GitHub، والتي يمكن استغلالها بعد ذلك بطرق مختلفة لإلحاق الضرر بأصحاب المصلحة في سلسلة توريد البرمجيات”.
قام الباحثون ببناء أداة تسمى “StarScout” تقوم بمسح المستودعات وحسابات GitHub بحثًا عن النجوم المزيفة المحتملة، باستخدام عمليات تفريغ قاعدة البيانات من السنوات الخمس الماضية. قدرت نتائج StarScout أن هجمات النجوم المزيفة تتزايد، ووجدت حوالي 4.5 مليون نجم مزيف في جميع المستودعات التي تم فحصها. يبدو أن بعض المشاريع التي تحتوي على نجوم مزيفين هي “برامج مقرصنة، وغش في الألعاب، وروبوتات للعملات المشفرة”، ولكن تحتوي على برامج ضارة مخبأة في التعليمات البرمجية.
تنص الورقة على أن “كمية نشاط البطولة المزيفة تزايدت منذ عام 2022 وارتفعت في عام 2024 (لاحظ أن المحاور الصادية تم تحويلها إلى سجل): شهدت معظم الأشهر التي سبقت عام 2022 10 مستودعات على الأكثر تحتوي على حملات نجوم مزيفة، ولكن وترتفع الأعداد إلى اثني عشر في عامي 2022 و2023، ثم تنمو إلى الآلاف في عام 2024. وبلغت هذه الأنشطة ذروتها في يوليو 2024 في منطقتنا. مجموعة البيانات، عندما كان هناك 3216 مستودعًا بحملات النجوم المزيفة و30779 مستخدمًا مشاركًا.
هذا في الغالب يثير قلق مطوري البرامج فقط، ولكنه يؤثر على أي شخص يستخدم النجوم في مشاريع GitHub كمؤشر على الجودة أو السلامة أو الشعبية. إذا لم تكن متأكدًا مما إذا كان التطبيق أو المشروع الذي تبحث عنه شرعيًا، فتحقق من صفحة المشكلات (وجد الباحثون بعض المستودعات الضارة التي تحتوي على تحذيرات نشرها المستخدمون باعتبارها مشكلات) وابحث عن روابط للمشروع على مواقع أخرى حسنة السمعة، مثل كما ويكيبيديا.
مصدر: 4.5 مليون نجم مزيف (مشتبه بهم) في GitHub عبر الكمبيوتر النائم
(العلامات للترجمة) الويب (ر) الأمن السيبراني (ر) جيثب