IT之家12月21日音尘冲田杏梨作品，天下最大的开源社区GitHub提供了名为“Star（星标）”的功能，用户不错为仓库或话题打上星形象征。通过打星，用户不错简短地进行后续搜索，而领有较多星所在仓库更容易流露为“热点仓库”。

然而据外媒CyberInsider本周四报谈，好意思国卡内基梅隆大学和北卡罗来纳州立大学的商量标明，GitHub上存在多达450万个东谈主为增多的假星标，大多被加在含有坏心软件的仓库上。

GitHub的星标是判断仓库流行度和质料的进击象征，但一些用户正在通过付费工作“刷”仓库星所在数目。据商量流露，这类工作的收费为每个星标0.1好意思元（IT之家备注：刻下约0.73元东谈主民币），不同的虚增工作在“每颗星的价钱”“最低订单量”和“星标授予技艺”等方面各有不同。

冲田杏梨作品

看似得到无数星所在仓库，可能会误导缔造者和组织以为它们是值得信托的神态，即便这些仓库的质料较差，以致可能含有坏心代码，零落灵验的社区赞成。

好多这么的虚增星所在仓库伪装成游戏舞弊器具或编造货币机器东谈主相关器具，骨子上却含有经由加密浑浊的坏心软件，大致入侵系统或窃取数据。

商量团队分析了数十亿条GitHub行径数据，并缔造了名为“StarScout”的器具，用于检测这些虚增星所在仓库。通过分析从2019年到2024年的数据，商量东谈主员发现15835个仓库存在虚增星所在情况。尽管坏心仓库的星标在GitHub删除乖张账户后被移除，但这种误导性影响如故实足严重。

2024年以来，虚增星所在表象束缚加重。到7月，极端50个星所在仓库中，约有16%波及虚增星标步履。更严重的是，极端70%这些虚增星所在仓库波及垂纶讹诈或伪装坏心软件，径直威逼到软件供应链的安全。

IT之家附商量辩论论文地址：点此前去冲田杏梨作品