Editor Top
Una nueva investigación de la Escuela de Ciencias de la Computación de Carnegie Mellon muestra que los usuarios de GitHub compran o cambian cada vez más por estrellas falsas, luego usan sus ganancias mal obtenidas para atraer a los usuarios desprevenidos para que puedan robar su criptomoneda, deslizarlas o engañarlos para que descarguen un software malicioso. Crédito: Universidad Carnegie Mellon
Millones de usuarios de GitHub, la principal plataforma en línea para compartir software de código abierto, dependen de las estrellas para establecer la credibilidad de su producto de software. Pero la nueva investigación de la Escuela de Informática de la Universidad Carnegie Mellon muestra que este sistema basado en estrellas ha crecido.
Los investigadores del departamento de software y sistemas sociales encontraron que los usuarios compran o cambian cada vez más por estrellas falsas. Algunos usan su caché mal obtenido para construir rápidamente la reputación de repositorios, las casas GitHub para proyectos de software. Más diabólicamente, otros malos actores usan estrellas falsas para atraer usuarios desprevenidos para que puedan robar su criptomonedas, deslizar sus credenciales o engañarlas para que descarguen software malicioso.
Desde julio de 2019 hasta diciembre de 2024, los investigadores de la CMU contaron seis millones de estrellas en Github que parecen ser falsos.
«No somos las primeras personas en hablar sobre esto, por lo que no nos sorprendió encontrar estrellas falsas asociadas con estafas», dijo Bogdan Vasilescu, profesor asociado S3D. «Pero nos sorprendió su volumen».
Las plataformas de redes sociales han utilizado durante mucho tiempo señales de popularidad, como estrellas, me gusta, seguidores o retweets, para establecer la reputación del usuario. Y durante el tiempo, algunos usuarios han aumentado sus perfiles comprando o adquiriendo estrellas falsas y no ganadas u otras señales.
«Una forma de pensar en el ecosistema de Github en su conjunto es como una economía de atención, al igual que las redes sociales», dijo Vasilescu.
GitHub está organizado de tal manera que cada proyecto de software reside en su propio repositorio. Hay millones de repositorios, y todos buscan atraer a los usuarios que podrían descargar su software o ayudar a desarrollar aún más un proyecto. En una empresa tan competitiva, las estrellas acumuladas pueden ser críticas.
Las estrellas falsas pueden parecer un atajo para tal aceptación, y varios vendedores han surgido para venderlas. (Intente Google «Compre estrellas de Github»). Pero también es posible cambiar por las estrellas en los sitios de intercambio. El uso de estrellas falsas en Github comenzó a crecer en 2022 y aumentó en 2024. En su pico, hasta la fecha, en julio de 2024, más del 16% de los repositorios de Github se asociaron con campañas estrellas falsas.
Los investigadores de la CMU encontraron que las campañas de estrellas falsas destinadas simplemente a aumentar la popularidad de un repositorio generalmente no funcionan por mucho tiempo. Desafortunadamente, la mayoría de las campañas de estrellas falsas están asociadas con sitios maliciosos que representan una verdadera amenaza de seguridad.
Algunos de estos repositorios de estafas intentan atraer a alguien a descargar un poco de software, un truco para un videojuego, por ejemplo. El lanzamiento del software activa un poco de software oculto y desagradable. Por ejemplo, los investigadores citan un archivo que parecía ser una aplicación blockchain pero en realidad robó la criptomoneda del usuario.
Un enfoque más ambicioso, llamado ataque de la cadena de suministro de software, implica una pieza de código malicioso adjunto al software legítimo y ampliamente utilizado.
«Ningún software en estos días está escrito desde cero», dijo Vasilescu. «Reutilizamos las cosas tanto como sea posible. Todo software se basa en otros bits de software».
Estos paquetes de bits de software reutilizados y superpuestos constituyen la cadena de suministro de software. Un poco de software nefasto insertado en el lugar correcto puede afectar un número sustancial de aplicaciones aguas abajo en la cadena de suministro.
El año pasado, los científicos informáticos descubrieron un ataque de la cadena de suministro de software que se conoció como la puerta trasera XZ. Un estafador obtuvo acceso a XZ Utils, un paquete de software de compresión/descompresión que se ha incorporado a muchos sistemas informáticos. El estafador agregó un software oculto que creó una «puerta trasera» que permitió el acceso no autorizado a cualquier sistema informático utilizando este software modificado.
«XZ Backdoor fue el ataque más famoso de este tipo hasta la fecha y también el más elaborado», dijo Vasilescu.
El autor pasó unos dos años ganando la confianza de las personas que controlaron el repositorio de XZ Utils hasta que le dieron autorización para modificar el código. Sin embargo, el esquema se redujo cuando un ingeniero de software de Microsoft descubrió la puerta trasera al investigar la causa de los resultados inusuales de las pruebas de software.
Si bien el ataque de la cadena de suministro de Backdoor XZ no fue apoyado por estrellas falsas, ilustra cuán vulnerable puede ser el software de código abierto cuando están involucrados actores nefastos. Las estrellas falsas confunden las aguas cuando intentan diferenciar lo bueno de lo malo.
Para estudiar el fenómeno de la estrella falsa, los investigadores, incluidos Hao HE, Ph.D. Estudiante de Ingeniería de Software, y Christian Kästner, profesor asociado en S3D, creó una herramienta llamada StarScout que escanea la actividad de GitHub en busca de comportamientos anómalos.
Los comportamientos de interés se dividen en dos categorías. Uno es una cuenta que tiene poca actividad y a menudo tiene perfiles vacíos y avatares predeterminados. El otro comportamiento involucra grandes grupos de cuentas que parecen actuar en Lockstep, todas las estrellas otorgando en un corto período de tiempo.
Esta última categoría parece identificar cuentas vinculadas con proveedores de estrellas, dijo Vasilescu.
«Es necesariamente el caso de que si usted es uno de estos comerciantes, la entrega de estrellas falsas ocurre rápidamente porque de lo contrario tendría un cliente insatisfecho», explicó.
¿Qué se debe hacer sobre el problema de la estrella falsa? Los investigadores sugieren que reducir la dependencia de las estrellas para el sistema de reputación de Github tendría sentido. Otro enfoque podría ser no contar las estrellas de todos por igual. Quizás solo los usuarios que hayan tenido cuentas durante mucho tiempo o que de otra manera hayan establecido su propia reputación deberían poder emitir estrellas.
Vasilescu dijo que el uso regular de una herramienta como StarScout también sería aconsejable. En este caso, las personas que ejecutan GitHub tienen ventajas en el uso de tales herramientas. A diferencia de los investigadores de CMU, que solo podían acceder a los datos públicos, los operadores de GitHub pueden acceder a datos privados, como direcciones IP de los usuarios.
El informe del equipo de investigación sobre StarScout y GitHub Fake Stars ha sido aceptado para el 2026 Conferencia internacional de ingeniería de software. Además de él, Vasilescu y Kästner, el equipo incluyó a Haoqin Yang, un estudiante de informática de CMU de pregrado; Alexandros Kapravelos, informática de la Universidad Estatal de Carolina del Norte; y Philipp Burckhardt, un científico de datos de Socket Inc., una firma de ciberseguridad que se especializa en ataques de la cadena de suministro de software.
Citación: Los estafadores usan estrellas falsas para el juego Github, usuarios de estafadores (2025, 4 de septiembre) Recuperado el 4 de septiembre de 2025 de https://techxplore.com/news/2025-09-fraudsters-fake-stars-github.html
Este documento está sujeto a derechos de autor. Además de cualquier trato justo con el propósito de estudio o investigación privada, no se puede reproducir ninguna parte sin el permiso por escrito. El contenido se proporciona solo para fines de información.
