今天小編分享的科技經驗:研究:GitHub上存在450萬個假星标,多現身于惡意軟體倉庫,歡迎閱讀。
IT 之家 12 月 21 日消息,世界最大的開源社區 GitHub 提供了名為 "Star(星标)" 的功能,用戶可以為倉庫或話題打上星形标記。通過打星,用戶可以方便地進行後續搜索,而擁有較多星标的倉庫更容易顯示為 " 熱門倉庫 "。
然而據外媒 CyberInsider 本周四報道,美國卡内基梅隆大學和北卡羅來納州立大學的研究表明,GitHub 上存在多達 450 萬個人為增加的假星标,大多被加在含有惡意軟體的倉庫上。
GitHub 的星标是判斷倉庫流行度和質量的重要标志,但一些用戶正在通過付費服務 " 刷 " 倉庫星标的數量。據研究顯示,這類服務的收費為每個星标 0.1 美元(IT 之家備注:當前約 0.73 元人民币),不同的虛增服務在 " 每顆星的價格 "" 最低訂單量 " 和 " 星标授予時間 " 等方面各有不同。
看似獲得大量星标的倉庫,可能會誤導開發者和組織認為它們是值得信賴的項目,即便這些倉庫的質量較差,甚至可能含有惡意代碼,缺乏有效的社區支持。
很多這樣的虛增星标的倉庫偽裝成遊戲作弊工具或虛拟貨币機器人相關工具,實際上卻含有經過加密混淆的惡意軟體,能夠入侵系統或竊取數據。
研究團隊分析了數十億條 GitHub 活動數據,并開發了名為 "StarScout" 的工具,用于檢測這些虛增星标的倉庫。通過分析從 2019 年到 2024 年的數據,研究人員發現 15835 個倉庫存在虛增星标的情況。盡管惡意倉庫的星标在 GitHub 删除虛假賬戶後被移除,但這種誤導性影響已經足夠嚴重。
2024 年以來,虛增星标的現象不斷加劇。到 7 月,超過 50 個星标的倉庫中,約有 16% 涉及虛增星标行為。更嚴重的是,超過 70% 這些虛增星标的倉庫涉及釣魚詐騙或偽裝惡意軟體,直接威脅到軟體供應鏈的安全。
IT 之家附研究有關論文地址:點此前往
