只要有人的地方就免不了各種人為操作,之前我們常看到 Google Play 商店、APP Store 等應用程式市場中的假評論、評級,專案網站 GitHub 也不例外,不肖人士以造假「星星」來誇大那些詐騙和惡意軟體專案的受歡迎程度,藉此吸引更多放下戒心的用戶下載安裝。
GitHub 用戶要小心!大量刷星星造假排行騙你下載惡意軟體
GitHub 網站上的星星就類似於社群平台上的「讚」或「愛心」按鈕,將星星作為全球資料庫排行系統的一部分,並且根據你所按下的星星向你推薦可能喜歡的相關其他專案。在過去,星星造假的問題就已經發生過,舉例來說,2024 年 7 月時,國外媒體 Check Point 就曾發現一個名為「Stargazers Ghost Network」的惡意軟體服務,利用虛假專案組成的網路來散播竊取資訊的惡意軟體。Socket、卡內基美隆大學和北卡羅來納州立大學的研究人員進行的一項新研究進一步披露 GitHub 上星星造假問題的嚴重程度,發現在 GitHub 上有 450 萬個疑似造假的星星。
研究人員開發一種名為「StarScout」的工具分析來自「GHArchive」的 20TB 數據,以找到虛假的星星。這 20TB 數據中包含 2019 年 7 月至 2024 年 10 月間超過 60 億個 GitHub 的原始事件,其中包含 3.1 億個儲存庫和來自 6050 萬個用戶按下的 6.1 億個星星操作。StarScout 的運作方式以 CopyCatch 這種用來檢測社群網站上詐欺模式的演算法為基礎,偵測在 GitHub 上顯示最少活動的使用者(例如對單一儲存庫加註星星)、具有機器人或臨時帳戶活動模式以及協調行動的帳戶群組(例如在短時間內對相同儲存庫加註星星) 。
在透過應用低活躍度和鎖定簽名演算法來識別儲存庫中的可疑星星後,團隊發現了 22,915 個儲存庫中有 132 萬個帳戶給出的 453 萬個可疑的虛假星星。為了增加對這些星星真實性的可信度,研究人員僅考慮單月內星星活動出現顯著異常峰值的儲存庫從而過濾掉潛在誤報,並且與其他數據庫相比,這些儲存庫的假星星百分比超過 10% 星星總數。結論將結果減少到 27 萬 8 千 個帳戶向 1 萬 5 千 8 百個儲存庫按下了 310 萬個假星。
假星星對 GitHub 及其用戶的影響可從多方面討論,但總結來說,這個問題會削弱人們對該平台及其上面託管的各種軟體專案信任度。使用者下載前應該查看過去專案獲得的星星,評估儲存庫的活動和品質、閱讀文件、檢查內容和貢獻度,並在可能的情況下檢查程式碼。欺騙性的 GitHub 儲存庫非常普遍,該平台甚至在國家資助的機構中被利用,因此 GitHub 平台下載軟體時請務必小心。
