在卡内基梅隆大学、北卡罗来纳州立大学和 Socket 的研究人员进行的一项研究中,GitHub 星级评价系统的完整性受到了质疑。研究团队发现,欺诈性 “星级 ”的激增令人震惊,这些 “星级 ”被用来操纵世界领先开源平台上资源库的受欢迎程度。
这项研究利用名为StarScout的检测工具,系统分析了超过20 TB的GitHub元数据,识别出450多万个疑似虚假 “明星”,涉及15000多个软件源。研究人员详细指出,这类明星经常被用来扩大短期恶意软件活动或虚假夸大软件源的可见性,通常伪装成游戏作弊器、加密货币机器人或盗版软件。
GitHub 星级是一个重要的人气信号,会影响开发者的选择,甚至影响软件供应链中的决策。然而,这些星级很容易被滥用。正如研究人员所指出的,“星数是使用最广泛的人气信号,但也存在被人为夸大(即伪造)的风险,从而降低了其作为决策信号的价值,并给所有 GitHub 用户带来了安全风险”。
来源:Arxiv
研究发现了多种欺诈行为,包括:
- 僵尸网络: 自动账户大量生成星星。
- 众包操纵: 模仿真实活动的人工操作计划。
- 虚假增长黑客: 为寻求知名度的非恶意资源库增加星数的策略。
从假星中获益的恶意资源库构成了切实的威胁。正如研究人员强调的那样,“大多数虚假星级被用来推广伪装成盗版软件、游戏作弊器或加密货币机器人的短命恶意软件库”。在一个引人注目的案例中,一个虚假声称自己是区块链实用程序的资源库被发现包含严重混淆的恶意软件,旨在窃取加密货币。
分析显示,这些伪造星级的活动在 2024 年达到顶峰,当年 7 月,超过 15.8%的获得 50 个或更多星级的存储库参与了欺诈活动。其中许多存储库在被发现后已被删除,但这一问题的规模凸显了采取应对措施的迫切性。
为了应对这一日益严重的问题,研究人员开发了 StarScout,这是一种可扩展的工具,能够识别明星行为的异常模式。它采用了两种核心检测策略:
- 低活动签名: 识别那些只在最低数量的资源库中启动后就不再活跃的账户。
- 锁定签名: 检测在短时间内针对特定资源库的账户组的协调活动。
这种方法使研究小组能够发现假冒明星高度集中的资源库,同时将误报率降到最低。
这些发现使人们对 GitHub 星级作为质量或可信度信号的可靠性产生了质疑。研究人员提醒说:“星数是一种不可靠的质量信号,不应用于高风险决策。”
对于GitHub的平台管理者,研究建议采用加权流行度量标准并加强检测机制,以更好地识别和消除欺诈活动。随着软件供应链越来越依赖开源组件,确保星级等信任信号的完整性至关重要。