💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
Github et ses fausses étoiles pour favoriser les codes de cybercriminels

Fausses étoiles sur GitHub : un risque croissant pour les développeurs

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD

📚💡️idée de lecture : Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels📘 Voir sur Amazon

GitHub fait face à un problème de fausses étoiles, augmentant les risques de malwares et compromettant la confiance des utilisateurs dans les projets.

GitHub, plateforme essentielle pour les développeurs open source, fait face à un problème croissant lié à des « fausses étoiles » attribuées aux dépôts. Ces étoiles artificielles sont utilisées pour promouvoir des référentiels potentiellement malveillants, augmentant les risques de cyberattaques et compromettant la confiance dans les métriques de popularité.

Cet article revient sur cette actualité et explore les méthodes employées par les attaquants, les risques pour les utilisateurs et les recommandations pour renforcer la vigilance.

L’ampleur du phénomène des fausses étoiles

Des chercheurs de Carnegie Mellon, Socket Inc., et l’université d’État de Caroline du Nord ont récemment analysé 6 milliards d’événements GitHub de juillet 2019 à octobre 2024 pour identifier 4,5 millions d’étoiles suspectes. Après vérification, 3,1 millions d’entre elles ont été confirmées comme étant fausses, attribuées par 1,32 million de comptes sur près de 23 000 dépôts.

En 2024, l’activité des fausses étoiles a explosé, augmentant de 100 fois par rapport à l’année précédente. Ces actions sont principalement orchestrées par des comptes automatisés ou compromis pour manipuler les classements et rendre des dépôts malveillants plus visibles.

Les dangers des dépôts malveillants pour les utilisateurs

Les dépôts boostés artificiellement par des fausses étoiles cachent souvent des logiciels malveillants tels que des infostealers, des cryptomineurs ou des outils de phishing. Les utilisateurs, attirés par la popularité apparente de ces projets, risquent d’introduire involontairement des menaces dans leurs systèmes. Dans le présent cas, GitHub a tous supprimés tous les dépôts et les comptes que les chercheurs avait identifiés comme non authentiques en juillet 2024.

Du développement intégrant du code malveillant

Les étoiles jouent un rôle crucial dans la perception de la fiabilité des projets open source. Cependant, cette manipulation met en danger non seulement les développeurs, mais aussi les entreprises qui intègrent ces projets dans leurs environnements.

Recommandations pour atténuer les risques

Pour contrer cette menace, les professionnels de la cybersécurité sont invités à adopter les meilleures pratiques :

  • Analyse rigoureuse des dépôts : Vérifier la qualité du code, l’historique des contributions et la documentation.
  • Identification des contributeurs : Examiner les profils des contributeurs pour détecter des anomalies, comme des comptes récemment créés ou peu actifs.
  • Utilisation d’outils spécialisés : Outils comme les scorecards de l’Open Source Security Foundation permettent d’évaluer la fiabilité des projets.
  • Vigilance permanente : Rester bien sûr informé des alertes de sécurité publiées par la communauté et surveiller les dépôts utilisés.

La prolifération des fausses étoiles sur GitHub met en lumière une faille importante dans les mécanismes de confiance des plateformes open source. Face à ce défi, les utilisateurs doivent redoubler de vigilance et adopter des stratégies proactives pour sécuriser leurs environnements et limiter les risques associés aux projets open source.

Pour en savoir plus

Plus de 3,1 millions de fausses « étoiles » sur les projets GitHub utilisées pour améliorer les classements

GitHub a un problème avec les « étoiles » non authentiques utilisées pour gonfler artificiellement la popularité des référentiels de distribution d’escroqueries et de logiciels malveillants, les aidant ainsi à atteindre davantage d’utilisateurs sans méfiance.

Lire la suite sur bleepingcomputer.com
Plus de 3,1 millions de fausses « étoiles » sur les projets GitHub utilisées pour améliorer les classements

3,1 millions de fausses étoiles malveillantes découvertes sur GitHub – et ce nombre est en augmentation

Dans une étude approfondie, une équipe de recherche américaine a découvert des millions de fausses étoiles sur GitHub et a mis en garde contre une tendance à la hausse rapide.

Lire la suite sur heise Security
3,1 millions de fausses étoiles malveillantes découvertes sur GitHub – et ce nombre est en augmentation

GitHub a un problème majeur avec les faux classements, ce qui pourrait exposer les utilisateurs à un risque d’attaque

Des chercheurs ont trouvé 4,5 millions de fausses étoiles sur GitHubLe classement et les recommandations de la plateforme s’appuient fortement sur les étoilesLes utilisateurs sont invités à considérer bien plus que le simple nombre d’étoilesUne nouvelle recherche a révélé à quel point les fausses étoiles sont répandues…

Lire la suite sur Techradar – All the latest technology news
GitHub a un problème majeur avec les faux classements, ce qui pourrait exposer les utilisateurs à un risque d'attaque

(Re)découvrez également:

Comment des pirates utilisent des dépôts GitHub pour propager des malwares dangereux déguisés en exploits zero-day

Découvrez comment des cybercriminels exploitent les dépôts GitHub pour propager des malwares les faisant passer pour des exploits zero-day.

Lire la suite sur dcod.ch
Comment des pirates utilisent des dépôts GitHub pour propager des malwares dangereux déguisés en exploits zero-day

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon
Page frontale du livre Cybersécurité Nouvelle Génération

Cybersécurité Nouvelle Génération: Défendre Contre les Attaques Intelligentes grâce à l'IA

Dans un paysage numérique dominé par des menaces en constante évolution, les stratégies traditionnelles de cybersécurité ne suffisent plus. Cybersecurity Next-Generation est votre guide incontournable pour comprendre et mettre en œuvre l'intelligence artificielle comme arme stratégique dans la lutte contre les cyberattaques intelligentes et adaptatives.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

Les fondamentaux de la cybersécurité: Comprendre et appliquer les principes essentiels

🤔À l’ère du numérique, la sécurité informatique est un enjeu crucial pour toute organisation.Sécurité des systèmes et des réseaux, du cloud, des applications, sécurité défensive et offensive, piratage psychologique…

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏