GitHub 被围攻：数百万假star涌入平台

源代码的虚假star会误导新手开发人员。

Socket 的研究人员在GitHub 上发现了370 万个假 GitHub Stars， 这表明流行的开发者平台上的诈骗和恶意软件有所增加。在过去的六个月里，这个问题的规模迅速扩大。

GitHub star通常是项目受欢迎程度的第一个指标，但由于诈骗，这不再是一个可靠的标准。假star的售价低至10美分，成为欺骗用户和投资者的工具。尽管 GitHub 禁止自动批量活动和虚假帐户，但这些活动仍然很普遍。

这些star的主要危险是欺诈性存储库，它们伪装成流行项目并包含恶意代码。例如，其中一些存储库旨在通过隐藏命令窃取加密货币。其他风险包括吸引风险资本投资到具有虚假受欢迎度指标的公司，这会导致毫无戒心的投资者遭受经济损失。

此外，假星会提高低质量存储库的排名，例如代码示例或模板列表，这会堵塞 GitHub 并使新程序员感到困惑。

尽管 GitHub 努力删除此类存储库，但问题仍然存在：11% 的可疑存储库仍然处于活动状态，其中 28 个已被专家标记为包含恶意软件。

用于识别假star的算法是基于对过去五年 GitHub 数据的分析。在它的帮助下，可以识别出超过 10,000 个带有可疑星标的存储库。GitHub 已经删除了近 90% 的此类存储库，但仍有数千个可能包含恶意软件或只是流氓项目。

研究人员建议用户小心并检查存储库，不要只相信星星的数量。该平台还推出了新的可疑之星通知系统，有助于识别潜在危险项目，防范软件供应链风险。

GitHub star的情况清楚地说明了如今即使是最可靠的信任指标也可能受到损害。它提醒我们在网络环境中需要不断保持警惕和批判性思维，因为受欢迎的外表并不总是反映真正的价值或安全。

博客原文：https://socket.dev/blog/3-7-million-fake-github-stars-a-growing-threat-linked-to-scams-and-malware

原文始发于微信公众号（独眼情报）：GitHub 被围攻：数百万假star涌入平台