De una estrella a un troyano: un clic. Así venden virus y mineros en GitHub

Investigadores de la Escuela de Ciencias de la Computación de la Universidad Carnegie Mellon presentaron los resultados de un análisis a gran escala que mostró que el sistema de «estrellas» en GitHub, tradicionalmente usado como indicador de popularidad y confianza en los proyectos, quedó socavado por el uso masivo de manipulaciones. Desde julio de 2019 hasta diciembre de 2024, los especialistas registraron alrededor de 6 millones de marcas falsas que se presentaban como recomendaciones reales.

Los investigadores determinaron que el aumento de estas prácticas empezó en 2022 y que el pico se produjo en julio de 2024, cuando más del 16% de los repositorios estuvieron vinculados a campañas de incremento artificial de estrellas. Los vendedores de servicios ofrecen tanto la compra directa como el intercambio en mercados especializados. Con frecuencia la finalidad es crear rápidamente la apariencia de popularidad, pero una parte significativa de las manipulaciones se usa en esquemas mucho más peligrosos. Con estrellas falsas, los atacantes colocan en la cima proyectos que roban criptomonedas, sustraen credenciales o enmascaran código malicioso bajo programas útiles.

En un caso se ofrecía a las víctimas una aplicación para blockchain que en realidad era un troyano que transfería fondos desde cuentas. Otro vector está relacionado con la cadena de suministro de software: a bibliotecas populares se les añaden fragmentos maliciosos ocultos para que lleguen a un amplio espectro de proyectos. Los autores recordaron el ataque del año pasado XZ Backdoor, cuando un atacante durante casi 2 años consiguió ganarse la confianza de la comunidad de XZ Utils y luego introdujo una puerta trasera en un paquete de uso generalizado. La puerta fue detectada solo por casualidad, tras resultados incorrectos en pruebas, gracias a la atención de un ingeniero. Aunque en ese episodio las estrellas falsas no desempeñaron papel, la situación ilustra con claridad lo difícil que es distinguir un proyecto seguro de uno peligroso si el sistema de calificaciones es fácil de falsificar.

El equipo, con la ayuda de una herramienta especial que rastrea comportamientos sospechosos en la plataforma, logró identificar las manipulaciones. Entre las señales están cuentas sin actividad ni información en el perfil o la emisión masiva y sincronizada de estrellas por muchas cuentas en un breve periodo de tiempo. Esas acciones son especialmente características de los vendedores de valoraciones amañadas. Según los autores, la entrega rápida es imprescindible para retener al cliente, por eso grupos enteros de bots actúan casi al unísono.

Los investigadores consideran que GitHub debería revisar el papel de las «estrellas» en el sistema de reputación. Una opción es contabilizar solo las marcas de usuarios verificados con un historial prolongado de actividad. Además, se propone usar herramientas de seguimiento de forma continua. El trabajo de los especialistas ha sido aceptado para su presentación en la Conferencia Internacional de Ingeniería del Software 2026.