На GitHub нашли 6 млн фейковых звёзд — большинство ведут на malware

Если вы выбираете open-source-зависимости по числу звёзд на GitHub — пора пересмотреть критерий. Исследователи из CMU, NCSU и Socket за пять с половиной лет нашли около 6 миллионов фейковых звёзд на 18 617 репозиториях, и большинство этих репозиториев — не маркетинг, а фишинг и malware. В июле 2024 года ≈ 16,66% всех репозиториев с 50+ звёздами были замечены в фейк-кампаниях.

Работа «Six Million (Suspected) Fake Stars on GitHub» принята на ICSE 2026 — ведущую конференцию по программной инженерии. Команда выложила StarScout — открытый инструмент, которым любой разработчик может проверить подозрительный репозиторий.

Почему звёзды стали валютой

Звёзды на GitHub — это аналог лайков. Главный публичный сигнал «этому проекту доверяют». На них смотрят разработчики, выбирающие зависимость; рекрутеры, оценивающие пет-проекты; инвесторы, оценивающие стартапы вокруг open source. Сам GitHub использует звёзды для ранжирования в trending, в поиске и в рекомендациях.

В 2024 году рынок фейковых звёзд выглядит так: «boost-сервисы» открыто продают пакеты в Google по запросу buy github stars. Цена — от $0,10 до $2 за звезду, доставка — за часы. Есть и обменники: «я звёздочку тебе, ты — мне». Чем больше боты в группе, тем больше «органических» звёзд они могут раздать одному репозиторию.

Если ты продавец фейковых звёзд, доставка обязана быть быстрой — иначе клиент будет недоволен.

Богдан Василескудоцент Carnegie Mellon University, S3D

Как ловят: две сигнатуры StarScout

Команда написала StarScout — сканер, который пробежался по 20 терабайтам публичных метаданных GitHub за 2019–2024 годы из GHArchive. Аномалия определяется по двум независимым сигнатурам.

Сигнатура 1 — пустые аккаунты

Аккаунт без публичной активности, с дефолтным аватаром и пустым профилем, поставивший звезду «горячему» репозиторию. Один такой аккаунт — статистический шум. Сотни одинаковых аккаунтов вокруг одного проекта за неделю — кампания.

Сигнатура 2 — аккаунты, действующие синхронно

Метод CopyCatch от Facebook: ищем кластеры аккаунтов, которые ставят звёзды одним и тем же репозиториям в близкие промежутки времени. Если 200 аккаунтов накидали звёзд тому же набору из пяти проектов в течение двух часов — это не совпадение, это автоматизация.

Совпадение по обеим сигнатурам — высокая уверенность в фейке. GitHub косвенно подтвердил методологию: к январю 2025 года платформа сама удалила 90,42% репозиториев и 57,07% аккаунтов из списка StarScout. Без участия исследователей.

Что прячется за фейковой популярностью

Самый неприятный вывод: большинство репозиториев с фейк-кампаниями — это malware, а не безобидные стартапы, пытающиеся выглядеть популярнее. Типичный паттерн — обёртка под утилиту, которая нужна аудитории с низким порогом критичности: читы для игр, активаторы Windows, торренты-клиенты, крипто-боты, скачивалки видео из закрытых источников.

Похожая, но отдельная история — «Stargazers Ghost Network» от Check Point Research: сеть из более чем 3000 фейковых аккаунтов, которая распространяет Atlantida Stealer, Rhadamanthys, RisePro, Lumma Stealer и RedLine. Атрибутируется группе Stargazer Goblin. Эта сеть анализировалась отдельной командой и, вероятно, частично пересекается с 301 000 аккаунтов из списка StarScout. Общий паттерн один: звёзды как главный инструмент маскировки.

Меньшая часть фейк-кампаний — без явного malware: проекты вокруг ИИ/LLM, блокчейна, тулов, туториалов и демо. Авторы таких проектов покупают звёзды ради growth hacking или венчурной видимости. По исследованию, выгода всё равно недолгая: эффект исчезает через два месяца. Причина прозаичная — trending у GitHub смещается к свежим проектам, а без органического роста популярность проседает. Вдобавок репозиторий попадает в публичные списки подозрительных, и метка «были фейки» остаётся надолго.

Фейковые звёзды — это новый слой атак на supply chain, то есть на цепочку зависимостей, из которых собирается любой современный софт. В отличие от точечных инцидентов вроде XZ Utils backdoor или GlassWorm в OpenVSX, это массовый инструмент: дешёвый, автоматизированный, работает пока жертва доверяет звёздам как метрике.

Что делать разработчику

Простое правило: звёзды — не доказательство доверия, а только сигнал к проверке. Если выбираете зависимость или клонируете утилиту с GitHub, стоит за минуту пробежаться по чек-листу.

1. Посмотреть на возраст репозитория и историю коммитов. Проект с 2 тыс звёзд и 3 коммитами от одного автора за неделю — почти всегда buy-кампания.
2. Ткнуть на вкладку Stargazers и открыть 5–10 случайных аккаунтов. Если у большинства пустой профиль, дефолтный аватар и ноль собственных репозиториев — это бот-сеть.
3. Посмотреть на даты звёзд. 500 звёзд за один день, а потом тишина — признак накрутки. У здорового проекта звёзды копятся плавно.
4. Сверить зависимость перед установкой с Socket или Snyk Advisor — они уже проверяют репозитории на supply-chain-риски.
5. Для дотошных: запустить StarScout локально (нужен доступ к GHArchive) или посмотреть в релизах репозитория готовые датасеты с помеченными кампаниями.

Выводы

Главное практическое следствие: звёздами больше нельзя пользоваться как самостоятельной метрикой доверия. Они полезны как первичный фильтр — обрезать заведомо мёртвые проекты — но сами по себе ничего не доказывают. С июля 2024 года ≈ 16% всех «популярных» репозиториев на GitHub имели хотя бы одну фейк-кампанию. Это не маргинальное явление, а фоновый шум.

Авторы исследования предлагают платформе пересмотреть систему репутации: например, не считать все звёзды равными — давать вес только аккаунтам со своей собственной репутацией и историей. Параллельно стоит отказаться от ранжирования по звёздам в trending и поиске — они уже скомпрометированы.

Источники: paper «Six Million (Suspected) Fake Stars on GitHub», ICSE 2026 · пресс-релиз CMU · репозиторий StarScout · первая версия исследования (Socket, 3,7 млн) · Check Point про Stargazers Ghost Network

Если используете GitHub-зависимости в проде — добавьте проверку через StarScout или supply-chain-сканер в свой CI. Звёзды — больше не сигнал.