De fausses stars de Github sont utilisées pour propager des logiciels malveillants
La prochaine fois que vous consulterez un projet logiciel sur GitHub, ne supposez pas qu'il y a beaucoup d'étoiles comme indicateur de qualité. Une nouvelle étude menée par des chercheurs de l'Université Carnegie Mellon, de Socket et de l'Université d'État de Caroline du Nord a souligné comment de fausses étoiles sont utilisées pour renforcer les référentiels GitHub malveillants.
GitHub est l'un des sites les plus populaires pour l'hébergement de projets et de téléchargements de logiciels, du terminal Windows à 7-Zip. Les gens peuvent « mettre en vedette » un référentiel, ce qui est similaire à un « j'aime » sur les plateformes de médias sociaux, et les projets avec de nombreuses étoiles sont parfois affichés sur la page d'accueil de GitHub et à d'autres endroits.
Il y a eu quelques rapports d'acteurs malveillants ajoutant des milliers d'étoiles à de faux projets pour propager des logiciels malveillants, mais un nouveau document de recherche apporte une meilleure compréhension du problème. Il explique que les fausses étoiles GitHub proviennent de « robots, d’humains issus du crowdsourcing, de plateformes d’échange où les utilisateurs échangent des étoiles contre une récompense » et d’autres méthodes similaires. Les étoiles sont achetées à des fins de « piratage de croissance », parfois pour attirer des fonds de capital-risque, ainsi que pour promouvoir des référentiels contenant des logiciels malveillants. Le journal explique que « les référentiels avec de fausses étoiles bénéficient d’un avantage injuste dans le concours de popularité de GitHub, qui peut ensuite être exploité de diverses manières pour nuire aux parties prenantes de la chaîne d’approvisionnement des logiciels ».
Les chercheurs ont construit un outil appelé « StarScout » qui analyse les référentiels et les comptes GitHub à la recherche de fausses étoiles probables, en utilisant les sauvegardes de bases de données des cinq dernières années. Les résultats de StarScout estiment que les attaques de fausses étoiles sont en augmentation et ont trouvé environ 4,5 millions de fausses étoiles dans tous les référentiels analysés. Certains des projets avec de fausses étoiles semblaient être « des logiciels piratés, des astuces de jeu et des robots de crypto-monnaie », mais avec des logiciels malveillants cachés dans le code.
Le document indique : « La quantité d’activités de fausses vedettes a augmenté depuis 2022 et a bondi en 2024 (notez que les axes Y sont transformés en log) : la plupart des mois avant 2022 ont vu au plus 10 référentiels avec de fausses campagnes de vedettes, mais les chiffres augmentent jusqu'à une douzaine en 2022 et 2023, et atteignent encore des milliers en 2024. Ces activités ont culminé en juillet 2024 dans notre ensemble de données, alors qu'il y avait 3 216 référentiels avec de fausses campagnes étoiles et 30 779 utilisateurs participants.
Ceci est principalement préoccupant pour les développeurs de logiciels, mais cela affecte toute personne utilisant des étoiles sur des projets GitHub comme indicateur de qualité, de sécurité ou de popularité. Si vous n'êtes pas sûr que l'application ou le projet que vous consultez est légitime, consultez la page des problèmes (les chercheurs ont trouvé des référentiels malveillants avec des avertissements publiés par les utilisateurs comme problèmes) et trouvez des liens vers le projet sur d'autres sites réputés, tels que comme Wikipédia.