操办:GitHub上存在450万个假星标,多现身于坏心软件仓库
发布日期:2025-01-20 16:03 点击次数:143
IT之家 12 月 21 日音书,宇宙最大的开源社区 GitHub 提供了名为“Star(星标)”的功能,用户不错为仓库或话题打上星形符号。通过打星,用户不错浅显地进行后续搜索,而领有较多星方向仓库更容易清晰为“热点仓库”。
然而据外媒 CyberInsider 本周四报说念,好意思国卡内基梅隆大学和北卡罗来纳州立大学的操办标明,GitHub 上存在多达 450 万个东说念主为增多的假星标,大多被加在含有坏心软件的仓库上。
GitHub 的星标是判断仓库流行度和质料的进犯绮丽,但一些用户正在通过付费奇迹“刷”仓库星方向数目。据操办清晰,这类奇迹的收费为每个星标 0.1 好意思元(IT之家备注:刻下约 0.73 元东说念主民币),不同的虚增奇迹在“每颗星的价钱”“最低订单量”和“星标授予技术”等方面各有不同。
看似取得无数星方向仓库,可能会误导建筑者和组织合计它们是值得信托的面容,即便这些仓库的质料较差,以致可能含有坏心代码,缺少有用的社区补助。
好多这么的虚增星方向仓库伪装成游戏舞弊器具或凭空货币机器东说念主相关器具,骨子上却含有过程加密玷污的坏心软件,大略入侵系统或窃取数据。
操办团队分析了数十亿条 GitHub 行动数据,并建筑了名为“StarScout”的器具,用于检测这些虚增星方向仓库。通过分析从 2019 年到 2024 年的数据,操办东说念主员发现 15835 个仓库存在虚增星方向情况。尽管坏心仓库的星标在 GitHub 删除纰谬账户后被移除,但这种误导性影响仍是饱胀严重。
2024 年以来,虚增星方向表象箝制加重。到 7 月,跳动 50 个星方向仓库中,约有 16% 触及虚增星标步履。更严重的是,跳动 70% 这些虚增星方向仓库触及垂钓诳骗或伪装坏心软件,平直胁迫到软件供应链的安全。
IT之家附操办相关论文地址:点此赶赴