Fake GitHub stars are being used to push malware.

下次你检查GitHub上的一个软件项目时，不要假设有很多星星就是质量的指标。卡内基梅隆大学、Socket和北卡罗来纳州立大学的研究人员进行的一项新研究指出，虚假的星星被用来提升恶意的GitHub仓库。

GitHub 是托管软件项目和下载的最受欢迎的网站之一，涵盖了从 Windows Terminal 到 7-Zip 的各种内容。人们可以“星标”一个仓库，这类似于社交媒体平台上的“点赞”，而拥有大量星标的项目有时会在 GitHub 主页和其他地方展示。 有报道称，一些恶意分子向假项目添加成千上万颗星以传播恶意软件，但一项新的研究论文为该问题提供了更多见解。它解释说，假GitHub星来自“机器人、众包人类、用户通过奖励交换星星的平台”等类似方法。这些星星是为了“增长黑客”而购买的，有时为了吸引VC资金，以及推广包含恶意软件的仓库。论文指出，“带有虚假星星的仓库在GitHub人气竞赛中获得不公平的优势，这可以以各种方式被利用，从而损害软件供应链中的利益相关者。” 研究人员开发了一个名为“StarScout”的工具，该工具扫描仓库和GitHub账户，寻找可能的虚假星星，使用过去五年的数据库转储。StarScout的输出显示虚假星星攻击正在增加，并发现在所有扫描的仓库中发现了约450万虚假星星。一些带有虚假星星的项目似乎涉及“盗版软件、游戏作弊器和加密货币机器人”，但代码中隐藏了恶意软件。 “自2022年以来，虚假点赞活动的数量一直在增加，并在2024年激增（请注意y轴是经过对数变换的）：在2022年之前的大多数月份中，最多只有10个仓库有虚假点赞活动，但到2022年和2023年，这些数字增加到十几甚至更多，而在2024年进一步增长到数千。这些活动在我们数据集中的峰值出现在2024年7月，当时有3,216个仓库进行了虚假点赞活动，30,779名用户参与其中。” 这主要与软件开发者有关，但它也会影响任何使用GitHub项目上的星星作为质量、安全或流行度指标的人。如果你不确定你正在查看的应用程序或项目是否合法，请检查问题页面（研究人员发现了一些带有用户发布警告的恶意仓库）并查找其他可信网站上该项目的链接，例如维基百科。