GitHub星标功能被攻击者大规模滥用

GitHub的星标功能引发关注，研究人员发现存在大量人为增加的假星标，主要集中在含有恶意软件的仓库上。这些假星标可能会误导开发者和组织，认为它们是值得信赖的项目，但实际上却存在风险。

研究团队分析了数十亿条GitHub活动数据，并开发了名为"StarScout"的工具来检测这些虚增星标的仓库。他们通过分析2019年至2024年的数据发现，在这期间有15835个仓库存在虚增星标的情况。即使在删除虚假账户后，这种误导性影响仍对社区造成严重负面影响。

从2024年开始，虚增星标现象不断加剧。到7月时，超过50个星标的仓库中约有16%涉及虚增行为。更糟糕的是，超过70%这些虚增星标的仓库涉及钓鱼***或伪装恶意软件，直接威胁到软件供应链的安全。

这项研究揭示了开源社区中存在的问题，并提醒开发者们注意潜在的风险。对于想要寻找高质量、可靠的仓库的人来说，仅靠星标功能可能会受到误导，因此需要综合考虑其他因素来评估项目的质量。