GitHub,全球最大的开源代码托管平台,其特色功能“Star(星标)”一直是衡量项目受欢迎程度及质量的重要指标。用户通过为感兴趣的仓库或话题添加星形标记,不仅便于日后检索,也让那些星标数众多的仓库更易于脱颖而出,成为所谓的“热门之选”。
然而,近日一项由美国卡内基梅隆大学与北卡罗来纳州立大学联合进行的研究,却揭示了这一机制背后的阴暗面。据外媒CyberInsider报道,GitHub平台上存在着惊人的450万个疑似人为操纵的星标,而这些星标大多指向了含有恶意软件的仓库。
原本,星标应当是开发者社区信任与认可的直接体现。但如今,一些不法分子却通过付费服务,公然“刷”起了星标数量。据研究揭示,这样的服务每个星标的价格约为0.1美元(折合当前汇率约为0.73元人民币),且不同服务在价格、起订量以及星标授予时间等方面均存在差异。
这一行为导致的后果是,一些看似拥有大量星标的仓库,实则可能隐藏着巨大的风险。它们可能会误导开发者及组织,使其误以为这些项目值得信赖,即便这些仓库的实际质量低下,甚至暗含恶意代码,缺乏必要的社区支持。
更为严重的是,许多虚增星标的仓库,往往伪装成游戏作弊工具或虚拟货币机器人等看似诱人的工具,实则却内置了经过加密混淆的恶意软件,能够悄无声息地入侵系统,窃取用户数据。
为了应对这一挑战,研究团队不仅分析了数十亿条GitHub活动数据,还开发了名为“StarScout”的专门工具,用于精准识别那些存在虚增星标行为的仓库。通过对2019年至2024年间数据的深入分析,研究人员共发现了15835个存在虚增星标情况的仓库。尽管GitHub在发现虚假账户后已迅速采取了删除措施,但这一行为造成的误导性影响,却已难以抹去。
