12 月 21 日消息,世界最大的开源社区 GitHub 提供了名为“Star(星标)”的功能,用户可以为仓库或话题打上星形标记。通过打星,用户可以方便地进行后续搜索,而拥有较多星标的仓库更容易显示为“热门仓库”。
然而据外媒 CyberInsider 本周四报道,美国卡内基梅隆大学和北卡罗来纳州立大学的研究表明,GitHub 上存在多达 450 万个人为增加的假星标,大多被加在含有恶意软件的仓库上。
GitHub 的星标是判断仓库流行度和质量的重要标志,但一些用户正在通过付费服务“刷”仓库星标的数量。据研究显示,这类服务的收费为每个星标 0.1 美元(备注:当前约 0.73 元人民币),不同的虚增服务在“每颗星的价格”“最低订单量”和“星标授予时间”等方面各有不同。
看似获得大量星标的仓库,可能会误导开发者和组织认为它们是值得信赖的项目,即便这些仓库的质量较差,甚至可能含有恶意代码,缺乏有效的社区支持。
很多这样的虚增星标的仓库伪装成游戏作弊工具或虚拟货币机器人相关工具,实际上却含有经过加密混淆的恶意软件,能够入侵系统或窃取数据。
研究团队分析了数十亿条 GitHub 活动数据,并开发了名为“StarScout”的工具,用于检测这些虚增星标的仓库。通过分析从 2019 年到 2024 年的数据,研究人员发现 15835 个仓库存在虚增星标的情况。尽管恶意仓库的星标在 GitHub 删除虚假账户后被移除,但这种误导性影响已经足够严重。
2024 年以来,虚增星标的现象不断加剧。到 7 月,超过 50 个星标的仓库中,约有 16% 涉及虚增星标行为。更严重的是,超过 70% 这些虚增星标的仓库涉及钓鱼诈骗或伪装恶意软件,直接威胁到软件供应链的安全。
附研究有关论文地址:点此前往
发表评论