卡内基梅隆大学研究：GitHub 上存在 450 万个假星标，多现身于恶意软件仓库

IT之家报道称，GitHub作为全球最大的开源社区，最近推出了称为“星标”功能，允许用户为仓库或话题添加星形标记。这项功能让用户可以轻松进行后续搜索，而星标较多的仓库更有可能成为“热门仓库”。

然而，据外媒CyberInsider本周四的报道称，美国卡内基梅隆大学和北卡罗来纳州立大学的研究发现，GitHub上存在多达450万个“人为增加的假星标”，大部分出现在“含有恶意软件的仓库”中。

GitHub的星标被视为衡量仓库受欢迎程度和质量的重要指标，但一些用户却在通过付费服务“刷”仓库星标的数量。据研究显示，这些服务的收费标准为每个星标0.1美元（约合0.73元人民币），不同的虚增服务在价格、最低订单量和星标颁发频率等方面有所差异。

疑似获得大量星标的仓库可能会误导开发者和组织认为它们是可信赖的项目，即使这些仓库的质量欠佳，甚至可能包含恶意代码，而缺乏有效的社区支持。

许多这类虚增星标的仓库伪装成游戏作弊工具或虚拟货币机器人相关工具，实际上却含有经过加密混淆的恶意软件，可以用于系统入侵或数据窃取。

研究团队经分析了数十亿条GitHub活动数据，并开发了名为“StarScout”的工具，用于识别这些虚构星标的仓库。根据他们对2019年至2024年间数据的分析，发现了15835个涉及虚增星标的仓库。尽管GitHub在删除虚假账户后会移除恶意仓库的星标，但这种误导性影响已经相当严重。

自2024年以来，虚增星标的现象进一步加剧。到7月，超过50个星标的仓库中，大约有16%涉及虚增星标的行为。更严重的是，超过70%的这些虚增星标仓库牵涉到钓鱼诈骗或伪装恶意软件，直接对软件供应链的安全构成威胁。

IT之家提供了相关研究论文地址：点击此处查看

广告声明：本文包含外部链接，仅供信息分享，结果仅供参考。