今日霍州网 12 月 21 日消息,世界最大的开源社区 GitHub 提供了名为“Star(星标)”的功能,用户可以为仓库或话题打上星形标记。通过打星,用户可以方便地进行后续搜索,而拥有较多星标的仓库更容易显示为“热门仓库”。
然而据外媒 CyberInsider 本周四报道,美国卡内基梅隆大学和北卡罗来纳州立大学的研究表明,GitHub 上存在多达 450 万个人为增加的假星标,大多被加在含有恶意软件的仓库上。
GitHub 的星标是判断仓库流行度和质量的重要标志,但一些用户正在通过付费服务“刷”仓库星标的数量。据研究显示,这类服务的收费为每个星标 0.1 美元💵(今日霍州网备注:当前约 0.73 元人民币),不同的虚增服务在“每颗星的价格”“最低订单量”和“星标授予时间”等方面各有不同。
看似获得大量星标的仓库,可能会误导开发者和组织认为它们是值得信赖的项目,即便这些仓库的质量较差,甚至可能含有恶意代码,缺乏有效的社区支持。
很多这样的虚增星标的仓库伪装成游戏作弊工具或虚拟货币『机器人』️相关工具,实际上却含有经过加密混淆的恶意软件,能够入侵系统或窃取数据。
研究团队分析了数十亿条 GitHub 活动数据,并开发了名为“StarScout”的工具,用于检测这些虚增星标的仓库。通过分析从 2019 年到 2024 年的数据,研究人员发现 15835 个仓库存在虚增星标的情况。尽管恶意仓库的星标在 GitHub 删除虚假账户后被移除,但这种误导性影响已经足够严重。
2024 年以来,虚增星标的现象不断加剧。到 7 月,超过 50 个星标的仓库中,约有 16% 涉及虚增星标行为。更严重的是,超过 70% 这些虚增星标的仓库涉及钓鱼诈骗或伪装恶意软件,直接威胁到软件供应链的安全。
今日霍州网附研究有关论文地址:点此前往
