GitHub, la plataforma líder de desarrollo de software de código abierto, se enfrenta en los últimos tiempos a una amenaza que pone en duda la confianza que los usuarios vienen depositando en la misma: su sistema de medición de la popularidad y calidad de los proyectos está siendo manipulado para inflar artificialmente la reputación de repositorios maliciosos.
La fragilidad del sistema de estrellas
El sistema de estrellas es, para GitHub, equivalente a los "me gusta" en redes sociales, con la salvedad de que sirven para valorar no publicaciones sueltas, sino proyectos de software en su totalidad, dando a los usuarios la opción de destacar aquellos que consideran más valiosos.
Sin embargo, lo que alguna vez fue un indicador fiable a la hora de descargar aplicaciones (o de reutilizar código) en el que es el mayor repositorio de software del mundo, se ha convertido ahora en una herramienta para engañar a los usuarios.
Al menos, eso es lo que revela un reciente informe (PDF) de investigadores universitarios estadounidenses, que han identificado más de 4,5 millones de estrellas falsas asociadas a un total de 15.835 repositorios entre 2019 y 2024.
Una posible solución
Para detectar (y, potencialmente, combatir) este fenómeno, el equipo de investigadores desarrolló StarScout, una herramienta avanzada capaz de identificar estrellas sospechosas en GitHub. Esta herramienta utiliza dos enfoques principales:
- Heurística de baja actividad: Detecta cuentas que interactúan mínimamente con la plataforma y solo se dedican a otorgar estrellas.
- Heurística de agrupación: Identifica patrones de actividad coordinada entre múltiples cuentas.
Cómo funcionan estas campañas
Estas estrellas fraudulentas se generan a través de bots, plataformas de intercambio de clics y usuarios incentivados por tramas de ciberestafa. Los motivos detrás de estas campañas son muy diversos: desde la promoción de software malicioso hasta la búsqueda de financiación por parte de fondos de capital de riesgo.
En cualquier caso, esta manipulación ha conducido a que algunos repositorios peligrosos (que esconden código malicioso diseñado para robar información confidencial o criptomonedas de los usuarios, pero oculto como software legítimo) ostenten un lugar destacado en la plataforma, multiplicando así los riesgos para los usuarios.
El problema se ha intensificado en los últimos años. En julio de 2024, se registró un pico alarmante: 3.216 repositorios con campañas de estrellas falsas y 30.779 usuarios participando en estas actividades fraudulentas.
Los investigadores subrayan que estos repositorios suelen ser de corta duración, desapareciendo después de haber infectado a suficientes usuarios.
¿Cómo afecta a la comunidad de desarrolladores?
El uso indebido del sistema de estrellas tiene implicaciones graves para los desarrolladores, y para las organizaciones que integran software de código abierto en sus proyectos. Muchos programadores confían en las estrellas para evaluar rápidamente la calidad de un repositorio... algo que deberían replantearse ahora que sabemos que, el 15,8% de los repositorios con más de 50 estrellas (datos de julio de 2024) estaban vinculados a campañas fraudulentas.
Recomendaciones para los usuarios
Ante este panorama, los expertos sugieren a los usuarios de GitHub que tomen las siguientes precauciones:
- No confiar únicamente en las estrellas: Las estrellas ya no son un indicador fiable de calidad.
- Revisar las páginas de problemas (issues): A menudo, otros usuarios advierten sobre posibles amenazas en estas secciones.
- Verificar la legitimidad del proyecto: Buscar referencias del repositorio en sitios confiables como Wikipedia o por referencias en redes sociales, así como verificar la existencia de webs oficiales.
Imagen | Marcos Merino mediante IA
En Genbeta | GitHub tiene miles de cuentas fantasma que difunden malware… y pertenecen a una red de pago para delincuentes. Así engañan al usuario
Ver 0 comentarios