卡內(nèi)基梅隆大學(xué)研究：GitHub 上存在 450 萬(wàn)個(gè)假星標(biāo)，多現(xiàn)身于惡意軟件倉(cāng)庫(kù)

IT之家 12 月 21 日消息，世界最大的開(kāi)源社區(qū) GitHub 提供了名為“Star（星標(biāo)）”的功能，用戶可以為倉(cāng)庫(kù)或話題打上星形標(biāo)記。通過(guò)打星，用戶可以方便地進(jìn)行后續(xù)搜索，而擁有較多星標(biāo)的倉(cāng)庫(kù)更容易顯示為“熱門(mén)倉(cāng)庫(kù)”。

然而據(jù)外媒 CyberInsider 本周四報(bào)道，美國(guó)卡內(nèi)基梅隆大學(xué)和北卡羅來(lái)納州立大學(xué)的研究表明，GitHub 上存在多達(dá) 450 萬(wàn)個(gè)人為增加的假星標(biāo)，大多被加在含有惡意軟件的倉(cāng)庫(kù)上。

GitHub 的星標(biāo)是判斷倉(cāng)庫(kù)流行度和質(zhì)量的重要標(biāo)志，但一些用戶正在通過(guò)付費(fèi)服務(wù)“刷”倉(cāng)庫(kù)星標(biāo)的數(shù)量。據(jù)研究顯示，這類服務(wù)的收費(fèi)為每個(gè)星標(biāo) 0.1 美元（IT之家備注：當(dāng)前約 0.73 元人民幣），不同的虛增服務(wù)在“每顆星的價(jià)格”“最低訂單量”和“星標(biāo)授予時(shí)間”等方面各有不同。

看似獲得大量星標(biāo)的倉(cāng)庫(kù)，可能會(huì)誤導(dǎo)開(kāi)發(fā)者和組織認(rèn)為它們是值得信賴的項(xiàng)目，即便這些倉(cāng)庫(kù)的質(zhì)量較差，甚至可能含有惡意代碼，缺乏有效的社區(qū)支持。

很多這樣的虛增星標(biāo)的倉(cāng)庫(kù)偽裝成游戲作弊工具或虛擬貨幣機(jī)器人相關(guān)工具，實(shí)際上卻含有經(jīng)過(guò)加密混淆的惡意軟件，能夠入侵系統(tǒng)或竊取數(shù)據(jù)。

研究團(tuán)隊(duì)分析了數(shù)十億條 GitHub 活動(dòng)數(shù)據(jù)，并開(kāi)發(fā)了名為“StarScout”的工具，用于檢測(cè)這些虛增星標(biāo)的倉(cāng)庫(kù)。通過(guò)分析從 2019 年到 2024 年的數(shù)據(jù)，研究人員發(fā)現(xiàn) 15835 個(gè)倉(cāng)庫(kù)存在虛增星標(biāo)的情況。盡管惡意倉(cāng)庫(kù)的星標(biāo)在 GitHub 刪除虛假賬戶后被移除，但這種誤導(dǎo)性影響已經(jīng)足夠嚴(yán)重。

2024 年以來(lái)，虛增星標(biāo)的現(xiàn)象不斷加劇。到 7 月，超過(guò) 50 個(gè)星標(biāo)的倉(cāng)庫(kù)中，約有 16% 涉及虛增星標(biāo)行為。更嚴(yán)重的是，超過(guò) 70% 這些虛增星標(biāo)的倉(cāng)庫(kù)涉及釣魚(yú)詐騙或偽裝惡意軟件，直接威脅到軟件供應(yīng)鏈的安全。

IT之家附研究有關(guān)論文地址：點(diǎn)此前往

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。