GitHub假星標(biāo)泛濫，450萬(wàn)個(gè)虛假標(biāo)記藏身惡意軟件倉(cāng)庫(kù)

GitHub，全球最大的開(kāi)源代碼托管平臺(tái)，其特色功能“Star（星標(biāo)）”一直是衡量項(xiàng)目受歡迎程度及質(zhì)量的重要指標(biāo)。用戶通過(guò)為感興趣的倉(cāng)庫(kù)或話題添加星形標(biāo)記，不僅便于日后檢索，也讓那些星標(biāo)數(shù)眾多的倉(cāng)庫(kù)更易于脫穎而出，成為所謂的“熱門(mén)之選”。

然而，近日一項(xiàng)由美國(guó)卡內(nèi)基梅隆大學(xué)與北卡羅來(lái)納州立大學(xué)聯(lián)合進(jìn)行的研究，卻揭示了這一機(jī)制背后的陰暗面。據(jù)外媒CyberInsider報(bào)道，GitHub平臺(tái)上存在著驚人的450萬(wàn)個(gè)疑似人為操縱的星標(biāo)，而這些星標(biāo)大多指向了含有惡意軟件的倉(cāng)庫(kù)。

原本，星標(biāo)應(yīng)當(dāng)是開(kāi)發(fā)者社區(qū)信任與認(rèn)可的直接體現(xiàn)。但如今，一些不法分子卻通過(guò)付費(fèi)服務(wù)，公然“刷”起了星標(biāo)數(shù)量。據(jù)研究揭示，這樣的服務(wù)每個(gè)星標(biāo)的價(jià)格約為0.1美元（折合當(dāng)前匯率約為0.73元人民幣），且不同服務(wù)在價(jià)格、起訂量以及星標(biāo)授予時(shí)間等方面均存在差異。

這一行為導(dǎo)致的后果是，一些看似擁有大量星標(biāo)的倉(cāng)庫(kù)，實(shí)則可能隱藏著巨大的風(fēng)險(xiǎn)。它們可能會(huì)誤導(dǎo)開(kāi)發(fā)者及組織，使其誤以為這些項(xiàng)目值得信賴，即便這些倉(cāng)庫(kù)的實(shí)際質(zhì)量低下，甚至暗含惡意代碼，缺乏必要的社區(qū)支持。

更為嚴(yán)重的是，許多虛增星標(biāo)的倉(cāng)庫(kù)，往往偽裝成游戲作弊工具或虛擬貨幣機(jī)器人等看似誘人的工具，實(shí)則卻內(nèi)置了經(jīng)過(guò)加密混淆的惡意軟件，能夠悄無(wú)聲息地入侵系統(tǒng)，竊取用戶數(shù)據(jù)。

為了應(yīng)對(duì)這一挑戰(zhàn)，研究團(tuán)隊(duì)不僅分析了數(shù)十億條GitHub活動(dòng)數(shù)據(jù)，還開(kāi)發(fā)了名為“StarScout”的專(zhuān)門(mén)工具，用于精準(zhǔn)識(shí)別那些存在虛增星標(biāo)行為的倉(cāng)庫(kù)。通過(guò)對(duì)2019年至2024年間數(shù)據(jù)的深入分析，研究人員共發(fā)現(xiàn)了15835個(gè)存在虛增星標(biāo)情況的倉(cāng)庫(kù)。盡管GitHub在發(fā)現(xiàn)虛假賬戶后已迅速采取了刪除措施，但這一行為造成的誤導(dǎo)性影響，卻已難以抹去。