研究揭示GitHub存在大量虚假星标，多达450万个，主要集中在含有恶意软件的仓库。这些通过付费服务刷取的星标，误导开发者认为这些仓库值得信赖。实际上，这些仓库质量差，甚至包含恶意代码，威胁软件供应链安全。研究发现，虚假星标仓库常伪装成游戏作弊工具或虚拟货币机器人，实则暗藏加密恶意软件，能入侵系统窃取数据。通过分析GitHub活动数据，研究人员开发工具StarScout检测虚增星标，发现自2019年来15835个仓库存在此现象。2024年虚增星标情况加剧，超过50个星标的仓库中，约16%涉及虚增，其中70%以上与恶意软件相关。

⭐GitHub星标本是衡量仓库流行度的重要指标，但付费刷星行为导致大量虚假星标出现，误导开发者，使得恶意仓库有机可乘。

💰虚增星标服务以每个星标0.1美元的价格出售，并通过不同的服务在“每颗星的价格”、“最低订单量”和“星标授予时间”上进行差异化定价。

⚠️大量虚增星标的仓库伪装成游戏作弊工具或虚拟货币机器人，实则含有经过加密混淆的恶意软件，能够入侵系统或窃取数据。

🔎 研究团队开发了名为“StarScout”的工具，用于检测这些虚增星标的仓库，并通过分析2019年至2024年的数据，发现了15835个仓库存在虚增星标的情况。

📈 2024年以来，虚增星标现象不断加剧，7月超过50个星标的仓库中，约16%涉及虚增星标行为，其中70%以上与钓鱼诈骗或伪装恶意软件相关，威胁软件供应链安全。

IT之家 12 月 21 日消息，世界最大的开源社区 GitHub 提供了名为“Star（星标）”的功能，用户可以为仓库或话题打上星形标记。通过打星，用户可以方便地进行后续搜索，而拥有较多星标的仓库更容易显示为“热门仓库”。

然而据外媒 CyberInsider 本周四报道，美国卡内基梅隆大学和北卡罗来纳州立大学的研究表明，GitHub 上存在多达 450 万个人为增加的假星标，大多被加在含有恶意软件的仓库上。

GitHub 的星标是判断仓库流行度和质量的重要标志，但一些用户正在通过付费服务“刷”仓库星标的数量。据研究显示，这类服务的收费为每个星标 0.1 美元（IT之家备注：当前约 0.73 元人民币），不同的虚增服务在“每颗星的价格”“最低订单量”和“星标授予时间”等方面各有不同。

看似获得大量星标的仓库，可能会误导开发者和组织认为它们是值得信赖的项目，即便这些仓库的质量较差，甚至可能含有恶意代码，缺乏有效的社区支持。

很多这样的虚增星标的仓库伪装成游戏作弊工具或虚拟货币机器人相关工具，实际上却含有经过加密混淆的恶意软件，能够入侵系统或窃取数据。

研究团队分析了数十亿条 GitHub 活动数据，并开发了名为“StarScout”的工具，用于检测这些虚增星标的仓库。通过分析从 2019 年到 2024 年的数据，研究人员发现 15835 个仓库存在虚增星标的情况。尽管恶意仓库的星标在 GitHub 删除虚假账户后被移除，但这种误导性影响已经足够严重。

2024 年以来，虚增星标的现象不断加剧。到 7 月，超过 50 个星标的仓库中，约有 16% 涉及虚增星标行为。更严重的是，超过 70% 这些虚增星标的仓库涉及钓鱼诈骗或伪装恶意软件，直接威胁到软件供应链的安全。

IT之家附研究有关论文地址：点此前往