GitHub，全球最大的開源代碼托管平臺，其特色功能“Star（星標(biāo)）”一直是衡量項目受歡迎程度及質(zhì)量的重要指標(biāo)。用戶通過為感興趣的倉庫或話題添加星形標(biāo)記，不僅便于日后檢索，也讓那些星標(biāo)數(shù)眾多的倉庫更易于脫穎而出，成為所謂的“熱門之選”。

然而，近日一項由美國卡內(nèi)基梅隆大學(xué)與北卡羅來納州立大學(xué)聯(lián)合進(jìn)行的研究，卻揭示了這一機制背后的陰暗面。據(jù)外媒CyberInsider報道，GitHub平臺上存在著驚人的450萬個疑似人為操縱的星標(biāo)，而這些星標(biāo)大多指向了含有惡意軟件的倉庫。

原本，星標(biāo)應(yīng)當(dāng)是開發(fā)者社區(qū)信任與認(rèn)可的直接體現(xiàn)。但如今，一些不法分子卻通過付費服務(wù)，公然“刷”起了星標(biāo)數(shù)量。據(jù)研究揭示，這樣的服務(wù)每個星標(biāo)的價格約為0.1美元（折合當(dāng)前匯率約為0.73元人民幣），且不同服務(wù)在價格、起訂量以及星標(biāo)授予時間等方面均存在差異。

這一行為導(dǎo)致的后果是，一些看似擁有大量星標(biāo)的倉庫，實則可能隱藏著巨大的風(fēng)險。它們可能會誤導(dǎo)開發(fā)者及組織，使其誤以為這些項目值得信賴，即便這些倉庫的實際質(zhì)量低下，甚至暗含惡意代碼，缺乏必要的社區(qū)支持。

更為嚴(yán)重的是，許多虛增星標(biāo)的倉庫，往往偽裝成游戲作弊工具或虛擬貨幣機器人等看似誘人的工具，實則卻內(nèi)置了經(jīng)過加密混淆的惡意軟件，能夠悄無聲息地入侵系統(tǒng)，竊取用戶數(shù)據(jù)。

為了應(yīng)對這一挑戰(zhàn)，研究團(tuán)隊不僅分析了數(shù)十億條GitHub活動數(shù)據(jù)，還開發(fā)了名為“StarScout”的專門工具，用于精準(zhǔn)識別那些存在虛增星標(biāo)行為的倉庫。通過對2019年至2024年間數(shù)據(jù)的深入分析，研究人員共發(fā)現(xiàn)了15835個存在虛增星標(biāo)情況的倉庫。盡管GitHub在發(fā)現(xiàn)虛假賬戶后已迅速采取了刪除措施，但這一行為造成的誤導(dǎo)性影響，卻已難以抹去。