GitHub星標(biāo)遭濫用，警惕惡意軟件倉庫“刷星”陷阱

近期，GitHub平臺上的星標(biāo)功能成為了安全研究人員關(guān)注的焦點。他們發(fā)現(xiàn)，不少惡意軟件倉庫通過人為操作，大量增加星標(biāo)數(shù)量，以此試圖迷惑開發(fā)者和組織。

為深入探究這一現(xiàn)象，一個研究團隊對GitHub上數(shù)十億條活動數(shù)據(jù)進行了詳盡分析。他們開發(fā)了一款名為“StarScout”的工具，專門用于檢測那些星標(biāo)數(shù)量異常增長的倉庫。通過這一工具，研究團隊揭示了2019年至2024年間，共有15835個倉庫存在虛增星標(biāo)的行為。

值得注意的是，即便在剔除虛假賬戶后，這些虛增的星標(biāo)依然對GitHub社區(qū)產(chǎn)生了不小的負面影響。從2024年開始，這一現(xiàn)象更是愈演愈烈。數(shù)據(jù)顯示，截至當(dāng)年7月，在擁有超過50個星標(biāo)的倉庫中，約有16%的倉庫存在虛增星標(biāo)的行為。

更令人擔(dān)憂的是，這些虛增星標(biāo)的倉庫中，超過70%涉及釣魚詐騙或偽裝惡意軟件，直接對軟件供應(yīng)鏈的安全構(gòu)成了嚴重威脅。這意味著，開發(fā)者在依賴星標(biāo)數(shù)量來判斷倉庫質(zhì)量和可信度時，可能會誤入歧途，從而面臨潛在的安全風(fēng)險。

這項研究不僅揭示了開源社區(qū)中存在的安全隱患，也提醒了廣大開發(fā)者要保持警惕。在尋找高質(zhì)量、可靠的倉庫時，開發(fā)者不能僅憑星標(biāo)數(shù)量來做決定，而應(yīng)該綜合考慮項目的多個方面，如代碼質(zhì)量、社區(qū)活躍度、安全記錄等，以更全面地評估項目的價值。