GitHub上450万个虚假星标揭秘：揭露恶意软件仓库中的惊人秘密

揭露黑暗面：GitHub恶意软件仓库隐藏的惊人真相

科技快讯中文网

　　 12月21日消息，GitHub作为全球最大的开源社区，近日推出了一个名为“Star（星标）”的新功能。用户现在可以通过给仓库或话题打上星形标记来更好地组织和管理他们感兴趣的内容。这一功能不仅让用户的后续搜索变得更加便捷，同时也使得那些获得较多星标的仓库更容易被发现，从而增加了它们成为“热门仓库”的可能性。 这个新功能无疑大大提升了GitHub平台的用户体验，让用户能够更加高效地追踪和参与他们关心的项目。同时，这也为开发者和项目维护者提供了一个新的激励机制，鼓励他们创建和维护高质量的开源项目。

　　 据报道，本周四外媒CyberInsider披露，美国卡内基梅隆大学与北卡罗来纳州立大学的研究发现，GitHub平台上有高达450万个虚假的星标，这些星标大多被人为添加到了包含恶意软件的代码库上。 这一现象揭示了网络空间中日益严重的安全威胁，不仅损害了开源社区的健康生态，也给开发者们带来了潜在的风险。虚假的星标使得恶意软件项目看起来更受欢迎、更可信，从而诱使更多不知情的用户下载和使用。这不仅是对GitHub平台治理能力的一次挑战，也提醒所有开发者在使用第三方代码时需提高警惕，仔细审查项目的信誉和安全性。

　　 GitHub的星标常被视作衡量仓库流行度和质量的一个重要指标，但有些用户正借助付费服务来增加他们仓库的星标数。研究表明，这些服务通常收费为每个星标0.1美元（注：约合0.73元人民币）。不同服务提供商在“每颗星的价格”、“最低订单量”以及“星标授予时间”方面存在差异。

　　 看似获得大量星标的仓库，可能会误导开发者和组织认为它们是值得信赖的项目，即便这些仓库的质量较差，甚至可能含有恶意代码，缺乏有效的社区支持。

　　 很多这样的虚增星标的仓库伪装成游戏作弊工具或虚拟货币机器人相关工具，实际上却含有经过加密混淆的恶意软件，能够入侵系统或窃取数据。

　　 研究团队对数十亿条GitHub活动数据进行了分析，并开发了一款名为“StarScout”的工具，用于识别这些虚增星标的仓库。通过对2019年至2024年的数据进行分析，研究人员发现有15835个仓库存在虚增星标的现象。尽管GitHub在删除虚假账户后移除了这些恶意仓库的星标，但其误导性影响已经相当显著。

　　 2024年以来，虚假增加星标的现象持续恶化。截至7月，在拥有超过50个星标的仓库中，大约有16%存在虚假增加星标的行为。更为严重的是，超过70%的涉及虚假星标的仓库与钓鱼诈骗或伪装成恶意软件有关，直接危及软件供应链的安全。

　　 附研究有关论文地址：点此前往