Navigation
Les derniers articles
Suivez en direct

Fausses étoiles sur GitHub : un risque croissant pour les développeurs

Github et ses fausses étoiles pour favoriser les codes de cybercriminels
GitHub fait face à un problème de fausses étoiles, augmentant les risques de malwares et compromettant la confiance des utilisateurs dans les projets.

GitHub, plateforme essentielle pour les développeurs open source, fait face à un problème croissant lié à des « fausses étoiles » attribuées aux dépôts. Ces étoiles artificielles sont utilisées pour promouvoir des référentiels potentiellement malveillants, augmentant les risques de cyberattaques et compromettant la confiance dans les métriques de popularité.

Cet article revient sur cette actualité et explore les méthodes employées par les attaquants, les risques pour les utilisateurs et les recommandations pour renforcer la vigilance.

L’ampleur du phénomène des fausses étoiles

Des chercheurs de Carnegie Mellon, Socket Inc., et l’université d’État de Caroline du Nord ont récemment analysé 6 milliards d’événements GitHub de juillet 2019 à octobre 2024 pour identifier 4,5 millions d’étoiles suspectes. Après vérification, 3,1 millions d’entre elles ont été confirmées comme étant fausses, attribuées par 1,32 million de comptes sur près de 23 000 dépôts.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

En 2024, l’activité des fausses étoiles a explosé, augmentant de 100 fois par rapport à l’année précédente. Ces actions sont principalement orchestrées par des comptes automatisés ou compromis pour manipuler les classements et rendre des dépôts malveillants plus visibles.

Les dangers des dépôts malveillants pour les utilisateurs

Les dépôts boostés artificiellement par des fausses étoiles cachent souvent des logiciels malveillants tels que des infostealers, des cryptomineurs ou des outils de phishing. Les utilisateurs, attirés par la popularité apparente de ces projets, risquent d’introduire involontairement des menaces dans leurs systèmes. Dans le présent cas, GitHub a tous supprimés tous les dépôts et les comptes que les chercheurs avait identifiés comme non authentiques en juillet 2024.

Du développement intégrant du code malveillant

Les étoiles jouent un rôle crucial dans la perception de la fiabilité des projets open source. Cependant, cette manipulation met en danger non seulement les développeurs, mais aussi les entreprises qui intègrent ces projets dans leurs environnements.

Recommandations pour atténuer les risques

Pour contrer cette menace, les professionnels de la cybersécurité sont invités à adopter les meilleures pratiques :

  • Analyse rigoureuse des dépôts : Vérifier la qualité du code, l’historique des contributions et la documentation.
  • Identification des contributeurs : Examiner les profils des contributeurs pour détecter des anomalies, comme des comptes récemment créés ou peu actifs.
  • Utilisation d’outils spécialisés : Outils comme les scorecards de l’Open Source Security Foundation permettent d’évaluer la fiabilité des projets.
  • Vigilance permanente : Rester bien sûr informé des alertes de sécurité publiées par la communauté et surveiller les dépôts utilisés.

La prolifération des fausses étoiles sur GitHub met en lumière une faille importante dans les mécanismes de confiance des plateformes open source. Face à ce défi, les utilisateurs doivent redoubler de vigilance et adopter des stratégies proactives pour sécuriser leurs environnements et limiter les risques associés aux projets open source.

Pour en savoir plus

Plus de 3,1 millions de fausses « étoiles » sur les projets GitHub utilisées pour améliorer les classements

GitHub a un problème avec les « étoiles » non authentiques utilisées pour gonfler artificiellement la popularité des référentiels de distribution d’escroqueries et de logiciels malveillants, les aidant ainsi à atteindre davantage d’utilisateurs sans méfiance.

Lire la suite sur bleepingcomputer.com
Plus de 3,1 millions de fausses « étoiles » sur les projets GitHub utilisées pour améliorer les classements

3,1 millions de fausses étoiles malveillantes découvertes sur GitHub – et ce nombre est en augmentation

Dans une étude approfondie, une équipe de recherche américaine a découvert des millions de fausses étoiles sur GitHub et a mis en garde contre une tendance à la hausse rapide.

Lire la suite sur heise Security
3,1 millions de fausses étoiles malveillantes découvertes sur GitHub – et ce nombre est en augmentation

GitHub a un problème majeur avec les faux classements, ce qui pourrait exposer les utilisateurs à un risque d’attaque

Des chercheurs ont trouvé 4,5 millions de fausses étoiles sur GitHubLe classement et les recommandations de la plateforme s’appuient fortement sur les étoilesLes utilisateurs sont invités à considérer bien plus que le simple nombre d’étoilesUne nouvelle recherche a révélé à quel point les fausses étoiles sont répandues…

Lire la suite sur Techradar – All the latest technology news
GitHub a un problème majeur avec les faux classements, ce qui pourrait exposer les utilisateurs à un risque d'attaque

(Re)découvrez également:

Comment des pirates utilisent des dépôts GitHub pour propager des malwares dangereux déguisés en exploits zero-day

Découvrez comment des cybercriminels exploitent les dépôts GitHub pour propager des malwares les faisant passer pour des exploits zero-day.

Lire la suite sur dcod.ch
Comment des pirates utilisent des dépôts GitHub pour propager des malwares dangereux déguisés en exploits zero-day

Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.

☕ Je participe
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Hacking pour débutant: Le guide complet pour débuter en cybersécurité

La plupart des gens pensent que le hacking est quelque chose de magique, ou que les hackers sont nés avec ce talent de pouvoir pénétrer dans les ordinateurs et les réseaux. Ce n'est pas vrai.

📘 Voir sur Amazon

La cybersécurité pour les Nuls, 2ème édition

Ce livre d'informatique pour les Nuls est destiné à tous ceux qui veulent en savoir plus sur la cybersécurité. A l'heure où protéger ses données personnelles est devenu primordial sur le net, notre ouvrage vous donne les clés pour éviter le hacking et le vol de vos données. Quelque soit votre niveau en informatique, n'hésitez plus et naviguez sur le web en toute sérénité grâce à ce livre pour les Nuls !

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.