GitHub enfrenta un problema significativo con las «estrellas» inauténticas que se utilizan para inflar artificialmente la popularidad de repositorios dedicados a estafas y distribución de malware, facilitando su alcance a usuarios desprevenidos. Las estrellas en GitHub funcionan de manera similar a los «Me gusta» en redes sociales, permitiendo a los usuarios marcar como favorito un repositorio. Este sistema de estrellas es parte de un ranking global que GitHub utiliza para recomendar contenido relacionado.
El problema de las estrellas falsas ha sido documentado anteriormente. Un ejemplo notable es el caso del ‘Stargazers Ghost Network’, un servicio de entrega de malware descubierto por Check Point, que utilizaba una red extensa de usuarios inauténticos para promocionar proyectos falsos y distribuir malware. No solo los proyectos maliciosos recurren a esta práctica; algunos proyectos legítimos también utilizan estrellas falsas para aumentar su visibilidad y atraer la atención de usuarios reales.
Un estudio reciente realizado por investigadores de Socket, la Universidad Carnegie Mellon y la Universidad Estatal de Carolina del Norte ha revelado la magnitud de este problema, identificando 4,5 millones de estrellas en GitHub que se sospecha son falsas. Para detectar estas estrellas inauténticas, los investigadores desarrollaron una herramienta llamada ‘StarScout’, que analizó 20TB de datos de ‘GHArchive’, un archivo que contiene metadatos de más de 6 mil millones de eventos en GitHub desde julio de 2019 hasta octubre de 2024.
La herramienta StarScout se basa en el algoritmo CopyCatch, diseñado para detectar patrones fraudulentos en redes sociales. Al aplicar algoritmos de baja actividad y firmas de sincronización, los investigadores identificaron 4.530.000 estrellas sospechosas otorgadas por 1.320.000 cuentas en 22.915 repositorios. Para aumentar la precisión, se filtraron los falsos positivos considerando solo los repositorios con un aumento anómalo de actividad de estrellas en un solo mes y donde el porcentaje de estrellas falsas superaba el 10% del total.
El resultado final mostró 3.100.000 estrellas falsas otorgadas por 278.000 cuentas a 15.835 repositorios. De estos, aproximadamente el 91% de los repositorios y el 62% de las cuentas sospechosas fueron eliminados en octubre de 2024, lo que respalda la eficacia de StarScout. El estudio también reveló un aumento en la actividad de estrellas falsas en 2024, con un 15,8% de los repositorios con más de 50 estrellas en julio de 2024 involucrados en estas campañas maliciosas.
Las implicaciones de las estrellas falsas en GitHub son múltiples, erosionando la confianza en la plataforma y en los proyectos de software que alberga. Se recomienda a los usuarios que evalúen más allá de las estrellas, revisando la actividad del repositorio, la calidad de la documentación y el código, y examinando las contribuciones antes de descargar software. GitHub ha sido contactado para obtener más información sobre cómo combate este problema, pero aún se espera una respuesta.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://news.betazeta.dev/2025/01/02/la-proliferacion-de-resenas-falsas-en-github-amenaza-la-integridad-de-los-repositorios/&media=https://i0.wp.com/www.bleepstatic.com/content/hl-images/2022/04/08/GitHub__headpic.jpg?w=1200&resize=1200,0&ssl=1&description=GitHub enfrenta un problema significativo con las "estrellas" inauténticas que se utilizan para inflar artificialmente la popularidad de repositorios dedicados a estafas y distribución de malware, facilitando su alcance a usuarios desprevenidos. Las estrellas en GitHub funcionan de manera similar a los "Me gusta" en redes sociales, permitiendo a los usuarios marcar como favorito un repositorio. Este sistema de estrellas es parte de un ranking global que GitHub utiliza para recomendar contenido relacionado.){kind=link}