GitHub假星標泛濫，450萬個虛假標記藏身惡意軟件倉庫

GitHub，全球最大的開源代碼托管平臺，其特色功能“Star（星標）”一直是衡量項目受歡迎程度及質量的重要指標。用戶通過為感興趣的倉庫或話題添加星形標記，不僅便于日后檢索，也讓那些星標數眾多的倉庫更易于脫穎而出，成為所謂的“熱門之選”。

然而，近日一項由美國卡內基梅隆大學與北卡羅來納州立大學聯合進行的研究，卻揭示了這一機制背后的陰暗面。據外媒CyberInsider報道，GitHub平臺上存在著驚人的450萬個疑似人為操縱的星標，而這些星標大多指向了含有惡意軟件的倉庫。

原本，星標應當是開發者社區信任與認可的直接體現。但如今，一些不法分子卻通過付費服務，公然“刷”起了星標數量。據研究揭示，這樣的服務每個星標的價格約為0.1美元（折合當前匯率約為0.73元人民幣），且不同服務在價格、起訂量以及星標授予時間等方面均存在差異。

這一行為導致的后果是，一些看似擁有大量星標的倉庫，實則可能隱藏著巨大的風險。它們可能會誤導開發者及組織，使其誤以為這些項目值得信賴，即便這些倉庫的實際質量低下，甚至暗含惡意代碼，缺乏必要的社區支持。

更為嚴重的是，許多虛增星標的倉庫，往往偽裝成游戲作弊工具或虛擬貨幣機器人等看似誘人的工具，實則卻內置了經過加密混淆的惡意軟件，能夠悄無聲息地入侵系統，竊取用戶數據。

為了應對這一挑戰，研究團隊不僅分析了數十億條GitHub活動數據，還開發了名為“StarScout”的專門工具，用于精準識別那些存在虛增星標行為的倉庫。通過對2019年至2024年間數據的深入分析，研究人員共發現了15835個存在虛增星標情況的倉庫。盡管GitHub在發現虛假賬戶后已迅速采取了刪除措施，但這一行為造成的誤導性影響，卻已難以抹去。