GitHub fait face à un problème de fausses étoiles, augmentant les risques de malwares et compromettant la confiance des utilisateurs dans les projets.
GitHub, plateforme essentielle pour les développeurs open source, fait face à un problème croissant lié à des « fausses étoiles » attribuées aux dépôts. Ces étoiles artificielles sont utilisées pour promouvoir des référentiels potentiellement malveillants, augmentant les risques de cyberattaques et compromettant la confiance dans les métriques de popularité.
Cet article revient sur cette actualité et explore les méthodes employées par les attaquants, les risques pour les utilisateurs et les recommandations pour renforcer la vigilance.
L’ampleur du phénomène des fausses étoiles
Des chercheurs de Carnegie Mellon, Socket Inc., et l’université d’État de Caroline du Nord ont récemment analysé 6 milliards d’événements GitHub de juillet 2019 à octobre 2024 pour identifier 4,5 millions d’étoiles suspectes. Après vérification, 3,1 millions d’entre elles ont été confirmées comme étant fausses, attribuées par 1,32 million de comptes sur près de 23 000 dépôts.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
En 2024, l’activité des fausses étoiles a explosé, augmentant de 100 fois par rapport à l’année précédente. Ces actions sont principalement orchestrées par des comptes automatisés ou compromis pour manipuler les classements et rendre des dépôts malveillants plus visibles.
Les dangers des dépôts malveillants pour les utilisateurs
Les dépôts boostés artificiellement par des fausses étoiles cachent souvent des logiciels malveillants tels que des infostealers, des cryptomineurs ou des outils de phishing. Les utilisateurs, attirés par la popularité apparente de ces projets, risquent d’introduire involontairement des menaces dans leurs systèmes. Dans le présent cas, GitHub a tous supprimés tous les dépôts et les comptes que les chercheurs avait identifiés comme non authentiques en juillet 2024.
Les étoiles jouent un rôle crucial dans la perception de la fiabilité des projets open source. Cependant, cette manipulation met en danger non seulement les développeurs, mais aussi les entreprises qui intègrent ces projets dans leurs environnements.
Recommandations pour atténuer les risques
Pour contrer cette menace, les professionnels de la cybersécurité sont invités à adopter les meilleures pratiques :
- Analyse rigoureuse des dépôts : Vérifier la qualité du code, l’historique des contributions et la documentation.
- Identification des contributeurs : Examiner les profils des contributeurs pour détecter des anomalies, comme des comptes récemment créés ou peu actifs.
- Utilisation d’outils spécialisés : Outils comme les scorecards de l’Open Source Security Foundation permettent d’évaluer la fiabilité des projets.
- Vigilance permanente : Rester bien sûr informé des alertes de sécurité publiées par la communauté et surveiller les dépôts utilisés.
La prolifération des fausses étoiles sur GitHub met en lumière une faille importante dans les mécanismes de confiance des plateformes open source. Face à ce défi, les utilisateurs doivent redoubler de vigilance et adopter des stratégies proactives pour sécuriser leurs environnements et limiter les risques associés aux projets open source.
Pour en savoir plus
Plus de 3,1 millions de fausses « étoiles » sur les projets GitHub utilisées pour améliorer les classements
GitHub a un problème avec les « étoiles » non authentiques utilisées pour gonfler artificiellement la popularité des référentiels de distribution d’escroqueries et de logiciels malveillants, les aidant ainsi à atteindre davantage d’utilisateurs sans méfiance.
3,1 millions de fausses étoiles malveillantes découvertes sur GitHub – et ce nombre est en augmentation
Dans une étude approfondie, une équipe de recherche américaine a découvert des millions de fausses étoiles sur GitHub et a mis en garde contre une tendance à la hausse rapide.
GitHub a un problème majeur avec les faux classements, ce qui pourrait exposer les utilisateurs à un risque d’attaque
Des chercheurs ont trouvé 4,5 millions de fausses étoiles sur GitHubLe classement et les recommandations de la plateforme s’appuient fortement sur les étoilesLes utilisateurs sont invités à considérer bien plus que le simple nombre d’étoilesUne nouvelle recherche a révélé à quel point les fausses étoiles sont répandues…
(Re)découvrez également:
Comment des pirates utilisent des dépôts GitHub pour propager des malwares dangereux déguisés en exploits zero-day
Découvrez comment des cybercriminels exploitent les dépôts GitHub pour propager des malwares les faisant passer pour des exploits zero-day.
Cette veille indépendante vous est utile ?
Offrez un café pour soutenir le serveur (et le rédacteur).
