Navigation
Les derniers articles
Suivez en direct

Fausses étoiles sur GitHub : un risque croissant pour les développeurs

Github et ses fausses étoiles pour favoriser les codes de cybercriminels
GitHub fait face à un problème de fausses étoiles, augmentant les risques de malwares et compromettant la confiance des utilisateurs dans les projets.

GitHub, plateforme essentielle pour les développeurs open source, fait face à un problème croissant lié à des « fausses étoiles » attribuées aux dépôts. Ces étoiles artificielles sont utilisées pour promouvoir des référentiels potentiellement malveillants, augmentant les risques de cyberattaques et compromettant la confiance dans les métriques de popularité.

Cet article revient sur cette actualité et explore les méthodes employées par les attaquants, les risques pour les utilisateurs et les recommandations pour renforcer la vigilance.

L’ampleur du phénomène des fausses étoiles

Des chercheurs de Carnegie Mellon, Socket Inc., et l’université d’État de Caroline du Nord ont récemment analysé 6 milliards d’événements GitHub de juillet 2019 à octobre 2024 pour identifier 4,5 millions d’étoiles suspectes. Après vérification, 3,1 millions d’entre elles ont été confirmées comme étant fausses, attribuées par 1,32 million de comptes sur près de 23 000 dépôts.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

En 2024, l’activité des fausses étoiles a explosé, augmentant de 100 fois par rapport à l’année précédente. Ces actions sont principalement orchestrées par des comptes automatisés ou compromis pour manipuler les classements et rendre des dépôts malveillants plus visibles.

Les dangers des dépôts malveillants pour les utilisateurs

Les dépôts boostés artificiellement par des fausses étoiles cachent souvent des logiciels malveillants tels que des infostealers, des cryptomineurs ou des outils de phishing. Les utilisateurs, attirés par la popularité apparente de ces projets, risquent d’introduire involontairement des menaces dans leurs systèmes. Dans le présent cas, GitHub a tous supprimés tous les dépôts et les comptes que les chercheurs avait identifiés comme non authentiques en juillet 2024.

Du développement intégrant du code malveillant

Les étoiles jouent un rôle crucial dans la perception de la fiabilité des projets open source. Cependant, cette manipulation met en danger non seulement les développeurs, mais aussi les entreprises qui intègrent ces projets dans leurs environnements.

Recommandations pour atténuer les risques

Pour contrer cette menace, les professionnels de la cybersécurité sont invités à adopter les meilleures pratiques :

  • Analyse rigoureuse des dépôts : Vérifier la qualité du code, l’historique des contributions et la documentation.
  • Identification des contributeurs : Examiner les profils des contributeurs pour détecter des anomalies, comme des comptes récemment créés ou peu actifs.
  • Utilisation d’outils spécialisés : Outils comme les scorecards de l’Open Source Security Foundation permettent d’évaluer la fiabilité des projets.
  • Vigilance permanente : Rester bien sûr informé des alertes de sécurité publiées par la communauté et surveiller les dépôts utilisés.

La prolifération des fausses étoiles sur GitHub met en lumière une faille importante dans les mécanismes de confiance des plateformes open source. Face à ce défi, les utilisateurs doivent redoubler de vigilance et adopter des stratégies proactives pour sécuriser leurs environnements et limiter les risques associés aux projets open source.

Pour en savoir plus

Plus de 3,1 millions de fausses « étoiles » sur les projets GitHub utilisées pour améliorer les classements

GitHub a un problème avec les « étoiles » non authentiques utilisées pour gonfler artificiellement la popularité des référentiels de distribution d’escroqueries et de logiciels malveillants, les aidant ainsi à atteindre davantage d’utilisateurs sans méfiance.

Lire la suite sur bleepingcomputer.com
Plus de 3,1 millions de fausses « étoiles » sur les projets GitHub utilisées pour améliorer les classements

3,1 millions de fausses étoiles malveillantes découvertes sur GitHub – et ce nombre est en augmentation

Dans une étude approfondie, une équipe de recherche américaine a découvert des millions de fausses étoiles sur GitHub et a mis en garde contre une tendance à la hausse rapide.

Lire la suite sur heise Security
3,1 millions de fausses étoiles malveillantes découvertes sur GitHub – et ce nombre est en augmentation

GitHub a un problème majeur avec les faux classements, ce qui pourrait exposer les utilisateurs à un risque d’attaque

Des chercheurs ont trouvé 4,5 millions de fausses étoiles sur GitHubLe classement et les recommandations de la plateforme s’appuient fortement sur les étoilesLes utilisateurs sont invités à considérer bien plus que le simple nombre d’étoilesUne nouvelle recherche a révélé à quel point les fausses étoiles sont répandues…

Lire la suite sur Techradar – All the latest technology news
GitHub a un problème majeur avec les faux classements, ce qui pourrait exposer les utilisateurs à un risque d'attaque

(Re)découvrez également:

Comment des pirates utilisent des dépôts GitHub pour propager des malwares dangereux déguisés en exploits zero-day

Découvrez comment des cybercriminels exploitent les dépôts GitHub pour propager des malwares les faisant passer pour des exploits zero-day.

Lire la suite sur dcod.ch
Comment des pirates utilisent des dépôts GitHub pour propager des malwares dangereux déguisés en exploits zero-day

Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre L\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\'intelligence artificielle en 50 notions clés pour les Nuls

L'intelligence artificielle en 50 notions clés pour les Nuls

Grâce à ce livre, vous pourrez naviguer dans l'univers foisonnant de l'IA et rester conscient et éclairé face aux transformations qu'elle propose à notre monde.

📘 Voir sur Amazon

Cybersécurité de 0 à Expert

Vous entendez parler de cyberattaques tous les jours mais vous ne savez pas vraiment comment elles fonctionnent ? Vous voulez comprendre le monde de la cybersécurité sans jargon compliqué ni prérequis techniques ? Ce livre est votre point de départ idéal. Cybersécurité de 0 à Expert est un guide pas à pas qui vous emmène du niveau débutant jusqu’aux bases avancées, en expliquant chaque concept de façon claire et accessible.

📘 Voir sur Amazon
Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article peuvent provenir de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur le cadre d’utilisation.