GitHub，全球最大的開源代碼托管平臺，其特色功能“Star（星標）”一直是衡量項目受歡迎程度及質(zhì)量的重要指標。用戶通過為感興趣的倉庫或話題添加星形標記，不僅便于日后檢索，也讓那些星標數(shù)眾多的倉庫更易于脫穎而出，成為所謂的“熱門之選”。

然而，近日一項由美國卡內(nèi)基梅隆大學與北卡羅來納州立大學聯(lián)合進行的研究，卻揭示了這一機制背后的陰暗面。據(jù)外媒CyberInsider報道，GitHub平臺上存在著驚人的450萬個疑似人為操縱的星標，而這些星標大多指向了含有惡意軟件的倉庫。

原本，星標應當是開發(fā)者社區(qū)信任與認可的直接體現(xiàn)。但如今，一些不法分子卻通過付費服務，公然“刷”起了星標數(shù)量。據(jù)研究揭示，這樣的服務每個星標的價格約為0.1美元（折合當前匯率約為0.73元人民幣），且不同服務在價格、起訂量以及星標授予時間等方面均存在差異。

這一行為導致的后果是，一些看似擁有大量星標的倉庫，實則可能隱藏著巨大的風險。它們可能會誤導開發(fā)者及組織，使其誤以為這些項目值得信賴，即便這些倉庫的實際質(zhì)量低下，甚至暗含惡意代碼，缺乏必要的社區(qū)支持。

更為嚴重的是，許多虛增星標的倉庫，往往偽裝成游戲作弊工具或虛擬貨幣機器人等看似誘人的工具，實則卻內(nèi)置了經(jīng)過加密混淆的惡意軟件，能夠悄無聲息地入侵系統(tǒng)，竊取用戶數(shù)據(jù)。

為了應對這一挑戰(zhàn)，研究團隊不僅分析了數(shù)十億條GitHub活動數(shù)據(jù)，還開發(fā)了名為“StarScout”的專門工具，用于精準識別那些存在虛增星標行為的倉庫。通過對2019年至2024年間數(shù)據(jù)的深入分析，研究人員共發(fā)現(xiàn)了15835個存在虛增星標情況的倉庫。盡管GitHub在發(fā)現(xiàn)虛假賬戶后已迅速采取了刪除措施，但這一行為造成的誤導性影響，卻已難以抹去。