מחקר: מיליוני דירוגים מזויפים בגיטהאב

חוקרים נעזרו בכלים ושיטות של מציאת דירוגים מזויפים ברשתות כדי לבדוק את גודל התופעה במאגר הקוד הפתוח. מה מרוויחים מזה? הפצת קודים מזיקים

{ כללי }

אהוד קינן

2.1.25

להיזהר מקוד זדוני. אילוסטרציה – jeshoots, pexels

עם יותר מ-100 מיליון מפתחים, גיטהאב היא מאגר הקוד הפתוח החשוב בעולם. אבל איך אמר הדוד בן לפיטר פרקר? עם כוח גדול באים זייפנים גדולים (לא בדיוק הציטוט, אבל רוח הדברים זהה). על פי מחקר שנערך בקרנגי מלון – יותר משלושה מיליון מכוכבי הדירוג באתר בשנים האחרונות היו מזויפים. למחקר היו שותפות גם אוניברסיטת צפון קרוליינה וחברת Socket – המציעה פלטפורמת אבטחה להגנה מקוד זדוני.

הכוכבים בגיטהאב אינם דירוג של 1 עד 5, אלא ניקוד מצטבר לפרויקטים בקוד פתוח, בדומה ללייקים בפייסבוק – כלומר כל כוכב כזה מביע המלצה או תמיכה בפרויקט. בגיטהאב אפשר לראות מי המדרגים של כל פרויקט, וכך לנסות לזהות פרופילים מזויפים.

קפיצה של פי 100 תוך שנה

בשביל לאתר כוכבים מזויפים, החוקרים השתמשו בפרקטיקות שבהן נעזרים גם לאיתור דירוגים מזויפים ברשתות חברתיות. הכלי שבו נעזרו, StarScout מזהה, בין השאר, התנהגות חריגה של מדרגים – חשבונות שמפסיקים להיות פעילים זמן קצר אחרי דירוג בודד, או כאלה שפועלים שוב ושוב יחד כדי לדרג בזמן קצר. הכלי, אגב, מבוסס על קוד פתוח, וגם זמין בגיטהאב. הציון שלו, נכון למועד פרסום הכתבה, הוא 34 כוכבים בלבד.

החוקרים בדקו בעזרת StarScout דירוגים שניתנו בין 2019 לבין 2024 ובשלב הזה זיהו 4.53 מיליון כוכבים מזויפים ב-22,915 פרויקטים בגיטהאב, שנוצרו על ידי 1.32 מיליון חשבונות. אחרי שסיננו תוצאות לפרויקטים שבהם יש זינוק משמעותי של כוכבים, גילו החוקרים כי ישנם 3.1 מיליון כוכבים מזויפים – והיתר סומנו כחשודים. במחקר מצוין כי קמפיינים של כוכבים מזויפים, שנראה שהם מתואמים, הפכו לנפוצים פי 100 בשנת 2024 בהשוואה ל-2023.

אפשר להפיץ קטעי קוד מזיקים

החוקרים אומרים שחיפוש פשוט בגוגל חושף שאפשר לקנות כוכבים במחיר של 10 סנט עד שני דולר לכוכב, ולקבל אותם בתוך מספר שעות. בעוד דירוגים מזויפים באתרי קניות יכולים להעלות מכירות ולהכניס כסף לקונים, המניעים לזיוף כוכבים באתר קוד פתוח הם שונים. רוב הכוכבים המזויפים בגיטהאב, לפי המחקר, משמשים לקידום מאגרים זדוניים של קודים המתחזים לתוכנות להורדות פיראטיות, צ'יטים למשחקים במשחקים או בוטים לקריפטו.

החיים של הפרויקטים האלה קצרים – 75% מהם מפסיקים להיות פעילים אחרי שלושה ימים בלבד, ותשומת הלב שפרויקטים כאלה מקבלים מחזיקה חודשיים בלבד. עם זאת, מי שיתפתה לקבל את השירותים האלה בחינם או ויוריד אותם בהסתמכות על הדירוג ובלי לבדוק את הקוד, יכול לפגוע בעצמו ובאחרים.

המחקר מציין כי כוכבים מזויפים, יחד עם חשבונות GitHub ופרויקטים הקשורים אליהם, ניתנים לזיהוי יעיל כבר באמצעות המידע הציבורי שעמד לרשותנו, מה שהופך את הממצאים לברי פעולה באופן מיידי.

החוקרים פנו לגיטהאב עם הממצים לפני פרסום המחקר, ולדבריהם האתר הסיר את כל הפרויקטים הזדוניים, החוקרים ממשיכים לבדוק לעומק את יתר הממצאים כדי להיותב קשר עם גיטהאב על הסרה של פרויקטים נוספים.