Ερευνητές από το Πανεπιστήμιο Carnegie Mellon, το North Carolina State University και το Socket ανέπτυξαν μια εργαλειοθήκη για τον εντοπισμό έργων με διογκωμένες αξιολογήσεις στο GitHub. Ως αποτέλεσμα της χρήσης του εργαλείου, εντοπίστηκαν 3.1 εκατομμύρια πλασματικά εκτεθειμένα αστέρια, που κάλυπταν 15835 αποθήκες. 278 χιλιάδες λογαριασμοί χρησιμοποιήθηκαν για εξαπάτηση.
Η διαδικασία προσθήκης πλασματικών αστεριών τέθηκε σε ροή και χρησιμοποιήθηκε κυρίως για την αύξηση του επιπέδου εμπιστοσύνης σε αποθετήρια που διανέμουν κακόβουλο κώδικα υπό το πρόσχημα πειρατικών αντιγράφων εμπορικών προγραμμάτων, ρομπότ κρυπτονομισμάτων και απατεώνων παιχνιδιών. Η ενίσχυση αστεριών έχει επίσης χρησιμοποιηθεί για την προώθηση προϊόντων, την αυτο-επίγνωση των προγραμματιστών, την απαξίωση των ανταγωνιστών και την αύξηση της σημασίας στα μάτια των χρηστών. Δίνονται παραδείγματα 7 υπηρεσιών εμπορικής προώθησης, το κόστος των οποίων κυμαίνεται από 0.10 $ έως 1.62 $ ανά αστέρι.
Η μελέτη επεξεργάστηκε 6 δισεκατομμύρια συμβάντα, που αντικατοπτρίζονται σε ένα αρχείο 20 terabyte δραστηριότητας GitHub που παρακολουθείται από το έργο GHAarchive. Τα συμβάντα αναλύθηκαν για την παρουσία ανωμαλιών, όπως οι σύγχρονες αξιολογήσεις με αστέρια για ομάδες έργων, οι αυξήσεις στις αυξήσεις βαθμολογίας για ανενεργά έργα και η λοξή δραστηριότητα των χρηστών που δημιουργήθηκε για εξαπάτηση. Η εργαλειοθήκη StarScout, η οποία χρησιμοποιεί ανάλυση συμπλέγματος και αναγνώριση επαναλαμβανόμενων μοτίβων συμπεριφοράς τυπικών για εξαπάτηση, δημοσιεύεται με την άδεια Apache 2.0.
Ως αποτέλεσμα της χρήσης του εργαλείου, εντοπίστηκαν ανωμαλίες στην εμφάνιση 4.53 εκατομμυρίων αστεριών στο GitHub, που εκδόθηκαν χρησιμοποιώντας 1.32 εκατομμύρια λογαριασμούς και κάλυπταν 22915 αποθετήρια. Για να αποκλειστούν τα ψευδώς θετικά, πραγματοποιήθηκε πρόσθετο φιλτράρισμα των αποτελεσμάτων, κατά το οποίο έμειναν μόνο έντονες αιχμές στην εμφάνιση αστεριών και αποθετήρια με υψηλό ποσοστό ύποπτων αστεριών.
Ως αποτέλεσμα, 278 χιλιάδες λογαριασμοί αναγνωρίστηκαν με επαναλαμβανόμενο μοτίβο συμπεριφοράς τυπικό για εξαπάτηση. Αυτοί οι λογαριασμοί χρησιμοποιήθηκαν για την εκχώρηση 3.1 εκατομμυρίων αστεριών σε 15835 αποθετήρια. Το 90.75% των επισημασμένων αποθετηρίων και το 61.95% των λογαριασμών καταργήθηκαν από το GitHub από τον Οκτώβριο του 2024.
Πηγή: opennet.ru
