Les cybercriminels ont compris l’intérêt du référencement sur GitHub. En effet, selon une étude menée par Socket, l'université Carnegie Mellon et celle de Caroline du Nord, ils utilisent des fausses étoiles pour augmenter la popularité des dépôts malveillants. Le système d’étoiles s’apparente au bouton « J’aime » présent sur les réseaux sociaux. Github s’en sert pour créer un classement des référentiels et proposer des contenus connexes correspondant à l’intérêt des utilisateurs.

Ce problème de fausses étoiles n’est pas nouveau. Il a déjà été documenté l’été dernier par Check Point avec la découverte d’un service de diffusion de malware nommé « Stargazers Ghost Network ». Celui-ci comprenait un vaste réseau de faux utilisateurs mettant en vedette de faux projets afin de propager des infostealer.

Plus de 4,5 millions d’étoiles suspectes

Dans l’étude, les chercheurs ont développé un outil appelé « StarScout » pour analyser 20 To de données provenant de  GHArchive afin de trouver des fausses étoiles. La base contient les métadonnées de plus de 6 milliards d'événements GitHub de juillet 2019 à octobre 2024, dont 60,5 millions d'actions d'utilisateurs sur 310 millions de dépôts et 610 millions d'étoiles. L’outil est capable de détecter des comportements suspects comme étoiler un dépôt unique via un bot ou un compte temporaire, mais aussi quand des groupes se coordonnent pour étoiler un même dépôt dans un court laps de temps.

Après traitement des données, les chercheurs ont trouvé un peu plus de 4,5 millions d’étoiles présumées fausses données par 1,32 million de comptes dans 22 915 dépôts. Ils ont affiné l’analyse en filtrant les faux positifs et ont réduit le résultat à 3,1 millions de fausses étoiles. Interpellé, GitHub a supprimé les faux comptes et les dépôts incriminés. Mais cette falsification reste intense, notamment en 2024 avec près de 16% des dépôts ayant plus de 50 étoiles en juillet impliqués dans des campagnes malveillantes. Au-delà de l’intervention de GitHub, cette étude rappelle les bonnes pratiques à savoir, regarder au-delà des étoiles, évaluer l’activité et la qualité du dépôt, lire la documentation, examiner le contenu et les contributions.