Fake GitHub stars are being used to push malicious software.

다음에 GitHub에서 소프트웨어 프로젝트를 확인할 때는 많은 별표가 품질의 지표라고 가정하지 마세요. 카네지 멘토 대학, 소켓 및 노스카리 세테이 대학 연구원들은 가짜 별표가 악성 GitHub 리포지토리를 증가시키는 방법을 지적했습니다.

GitHub는 소프트웨어 프로젝트와 다운로드를 호스팅하는 가장 인기 있는 사이트 중 하나입니다. 여기에는 Windows Terminal부터 7-Zip까지 모든 것이 포함됩니다. 사람들은 '레포지토리'에 '별표'를 달 수 있습니다. 이는 소셜 미디어 플랫폼에서의 '좋아요'와 비슷합니다. 별표가 많은 프로젝트는 때때로 GitHub 홈 페이지和其他 장소에서 표시됩니다.

악성 공격자가 가짜 프로젝트에 수천 개의 별을 추가하여 악성 yazılı소프트웨어를 푸시했지만, 최근의 연구 논문은 이 문제에 대한 더 많은 통찰력을 제공합니다. 논문에서는 가짜 GitHub 별이 "봇, 모집된 인공지능, 사용자가 보상으로 별을 교환하는 플랫폼" 등과 같은 방법으로 생성되는 것을 설명하고 있습니다. 별들은 종종 "성장 해킹"에 사용되며, 자금 투자 회사(VC)를 유치하거나 악성 소프트웨어가 포함된 저장소를 홍보하기 위해 구매됩니다. 논문에서는 "가짜 별이 가진 저장소는 GitHub 인기 대회에서 불공정한 이점을 얻고, 이를 통해 소프트웨어 공급 체인의 주체들을 해로울 수 있는 여러 가지 방법으로 활용될 수 있습니다"라고 설명하고 있습니다.

연구진은 과거 5년 동안의 데이터베이스 덤프를 사용하여 'StarScout'라는 도구를 만들었습니다. 이 도구는 저장소와 GitHub 계정을 스캔하여 가능할 것 같은 가짜 별표를 찾아냅니다. StarScout의 출력에 따르면 가짜 별표 공격이 증가하고 있으며, 스캔한 모든 저장소에서 약 450만 개의 가짜 별표를 발견했습니다. 일부 가짜 별표가 있는 프로젝트는 "盗版 소프트웨어, 게임 해킹 도구, 그리고 코인 시드러"였으며, 코드 내부에 바이러스가 숨겨져 있었다고 보입니다.

논문에 따르면, 가짜 별표 활동은 2022년부터 증가하고 있으며 2024년에는 급격히 상승했습니다(참고로 y축은 로그 변환되었습니다): 2022년 이전의 대부분의 달에는 최대 10개의 가짜 별표 캠페인을 보유한 리포지토리가 있었지만, 2022년과 2023년에는 숫자가 두 배로 늘어나고 있으며, 2024년에는 수천 개까지 증가했습니다. 이러한 활동은 우리 데이터 세트에서 2024년 7월에 가장 높았으며, 그 때 가짜 별표 캠페인을 보유한 리포지토리가 3,216개이고 참여자 수가 30,779명이었습니다.

이것은 주로 소프트웨어 개발자에게 관련되지만, GitHub 프로젝트에서 별을 사용하여 품질, 안전성 또는 인기를 나타내는 사람에게도 영향을 미칩니다. 봐야 할 앱이나 프로젝트가 합법적인지 확실하지 않다면, 문제 페이지를 확인하세요(연구원들은 일부 유저가 문제로 게시한 경고 메시지를 포함한 악성 저장소를 발견했습니다) 및 신뢰할 수 있는 다른 사이트에서 프로젝트에 대한 링크를 찾아보세요.