HackerNews 编译,转载请注明出处:
GitHub正遭遇虚假“星标”泛滥的问题,这些虚假星标被恶意用于提升软件病毒传播仓库的曝光度,诱使更多无辜用户上钩。
星标功能类似于社交媒体上的“点赞”,让用户能够为自己感兴趣的仓库标记。GitHub则将这些星标作为全球排名系统的参考指标之一,并据此向用户推荐相关内容。
GitHub说明:“用户可通过为仓库或主题加注星标,来发掘平台上的相似项目。一旦加星标,GitHub可能会在个人仪表板上推荐相关内容。”
去年夏季,Check Point揭露了一个名为“Stargazers Ghost Network”的恶意软件传播网络,该网络通过大量虚假账户为虚假项目加星标,以推广信息窃取恶意软件,揭示了这一问题的存在已久。
不仅恶意项目,部分非恶意项目也采用虚假星标手段提升人气、扩大影响,吸引真实用户关注与采用,此举不仅加剧了问题,还损害了平台信誉。
近期,Socket联合卡内基梅隆大学及北卡罗来纳州立大学的研究人员发布的一项新研究显示,GitHub上约有450万个星标疑似虚假。
追踪虚假星标
研究团队开发了一款名为“StarScout”的工具,用于分析来自“GHArchive”的20TB数据,寻找虚假星标的迹象。GHArchive记录了2019年7月至2024年10月期间超过60亿个GitHub事件的元数据,包括3.1亿个仓库的6,050万用户操作和6.1亿个星标。
StarScout通过检测用户的活动特征来识别可疑星标行为,比如仅为单个仓库加星标的用户、显示出机器人或临时账户活动模式的用户,以及在短时间内对相同仓库加星标的账户群体。该方法基于CopyCatch算法,这是一种专为发现社交网络中欺诈模式设计的算法。
通过将低活动量和同步模式算法应用于数据分析,研究团队识别出了4,530,000个疑似虚假星标,这些星标来自1,320,000个账户,分布在22,915个仓库中。
为了提高结果的准确性,研究人员筛除了潜在的误报,仅保留了那些在单个月份内出现显著异常星标激增且虚假星标比例超过10%的仓库。这一筛选过程将结果缩减为310万个虚假星标,涉及278,000个账户和15,835个仓库。
到2024年10月,约91%的相关仓库和62%的虚假账户已被删除,这进一步证明了StarScout工具的有效性。此外,2024年虚假星标活动显著增加,特别是在7月期间,超过50个星标的仓库中约有15.8%参与了这些恶意活动。
研究团队在2024年7月报告了StarScout识别的虚假仓库和账户,GitHub已将其全部删除。目前,他们仍在评估并报告2024年11月发现的其他虚假星标群体。
虚假星标对GitHub及其用户的影响多方面显现,但总体而言,这一问题正在侵蚀平台的信任基础及其托管的各种软件项目的可靠性。
用户在下载软件前应谨慎对待星标数量,深入评估仓库的活动和质量,仔细阅读文档、检查内容和贡献,并在可能的情况下审查代码。
欺诈性GitHub仓库的存在十分普遍,甚至被国家支持的行动所利用。因此,在下载软件时必须提高警惕。
BleepingComputer已联系GitHub以了解其应对虚假星标问题的具体措施,目前尚未收到回应。
消息来源:Bleeping Computer, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
