瘦猴 探花 卡内基梅隆大学盘考: GitHub 上存在 450 万个假星标, 多现身于坏心软件仓库

发布日期：2024-12-22 06:30    点击次数：199

IT之家12月21日音问，宇宙最大的开源社区GitHub提供了名为“Star（星标）”的功能瘦猴 探花，用户不错为仓库或话题打上星形标志。通过打星，用户不错疏忽地进行后续搜索，而领有较多星地方仓库更容易暴露为“热点仓库”。

然而据外媒CyberInsider本周四报说念，好意思国卡内基梅隆大学和北卡罗来纳州立大学的盘考标明，GitHub上存在多达450万个东说念主为增多的假星标，大多被加在含有坏心软件的仓库上。

GitHub的星标是判断仓库流行度和质地的紧迫标志，但一些用户正在通过付费就业“刷”仓库星地方数目。据盘考暴露，这类就业的收费为每个星标0.1好意思元（IT之家备注：现时约0.73元东说念主民币），不同的虚增就业在“每颗星的价钱”“最低订单量”和“星标授予时分”等方面各有不同。

瘦猴 探花

看似得到遍及星地方仓库，可能会误导配置者和组织以为它们是值得相信的技俩，即便这些仓库的质地较差，甚而可能含有坏心代码，枯竭有用的社区守旧。

好多这么的虚增星地方仓库伪装成游戏舞弊用具或编造货币机器东说念主关系用具，本体上却含有历程加密混浊的坏心软件，不祥入侵系统或窃取数据。

盘考团队分析了数十亿条GitHub步履数据，并配置了名为“StarScout”的用具，用于检测这些虚增星地方仓库。通过分析从2019年到2024年的数据，盘考东说念主员发现15835个仓库存在虚增星地方情况。尽管坏心仓库的星标在GitHub删除空虚账户后被移除，但这种误导性影响也曾迫害严重。

2024年以来，虚增星地方状态按捺加重。到7月，跳跃50个星地方仓库中，约有16%波及虚增星标步履。更严重的是，跳跃70%这些虚增星地方仓库波及垂纶糊弄或伪装坏心软件，径直恐吓到软件供应链的安全。

哥也色中文娱乐地址

IT之家附盘考权衡论文地址：点此赶赴瘦猴 探花