GitHubでスターを人為的に水増しする行為が横行中、水増しされたリポジトリの約70％がマルウェアに関連との調査結果も

世界最大のソフトウェア開発プラットフォームのGitHubには、「Star(スター)」と呼ばれるリポジトリやトピックに印を付ける機能があります。スターを付けることで後で検索しやすくなったり、スターが多いリポジトリは「人気のリポジトリ」として表示されやすくなったりします。しかし、カーネギーメロン大学とノースカロライナ州立大学による研究で、人為的に水増しされたスターが450万個も存在していることや、偽のスターの多くがマルウェアを含むリポジトリに付けられていることが明らかになりました。

4.5 Million (Suspected) Fake ⋆ Stars in GitHub: A Growing Spiral of Popularity Contests, Scams, and Malware
(PDFファイル)https://arxiv.org/pdf/2412.13459

The Rise of Fake GitHub Stars: A Growing Security Threat
https://cyberinsider.com/github-plagued-by-4-5-million-fake-stars-problem-misleading-users/

GitHubのスターは、リポジトリの人気と品質に関する主要なシグナルとして機能する重要な要素です。しかし、一部のユーザーは特定のリポジトリのスターを人工的にブーストするビジネスを展開しており、研究チームによるとその価格はスター1つにつき0.1ドル(約15円)とのこと。以下の表はGitHub上でのスター水増しサービスの料金です。「スター1つあたりの料金」「最低注文数」「スター付与までの日数」がサービスによってまちまちであることが分かります。

こうしたリポジトリは一見するとスターが数多く付けられているため、悪意があるコードが隠されている可能性のあるプロジェクトやコミュニティへのサポートが欠如している低品質のプロジェクトだとしても「信頼できるプロジェクトだ」と開発者や組織を誤解させてしまいます。

このような不正にスターを水増しされたリポジトリの多くは、ゲームのチートや仮想通貨ボットなどのツールに関するリポジトリを装っており、その中にはシステムを侵害したり、データを盗んだりするような難読化されたマルウェアが含まれているとのこと。

研究チームは数十億件のGitHub上でのイベントを分析して、スターがブーストされたリポジトリなどを検出するツール「StarScout」を開発しました。研究チームがStarScoutで2019年～2024年までのデータを分析した結果、1万5835件のリポジトリが人為的にスターを水増ししていることが判明。これらのリポジトリに付与されたスターの数は450万個に上ります。

また、2024年に入ってこうしたスターの水増しキャンペーンは増加傾向にあり、2024年7月にスターを50個以上獲得したリポジトリの約16％がスター水増しキャンペーンに関与していることが明らかになっています。さらに、スターが水増しされたリポジトリの70％以上がフィッシング詐欺や偽装マルウェアのいずれかであり、ソフトウェアサプライチェーンに対する直接的なセキュリティリスクが浮き彫りになりました。

海外メディアのCyber Insiderは「多くの開発者や組織は、リポジトリに付けられたスターの数をそのリポジトリの品質評価の頼りにしています。偽のスターは、安全でないリポジトリの採用を助長し、組織のセキュリティを危険にさらし、ソフトウェアエコシステムをゆがめ、本当に質の高いプロジェクトを目立たなくする可能性があります」と指摘。

さらに、「リポジトリの品質評価の際はスターの数だけでなく、プルリクエストやディスカッションの活発さなどを参照してください。また、GitHubもこの問題に積極的に取り組む責任があります。GitHubはモデレーションシステムを強化して、偽のスターアクティビティを悪意のあるリポジトリだと関連付けて、積極的な削除を行うべきです」と提言しました。