Разработчик Мохамед Ахмед (Mohamed Ahmed) выпустил утилиту StarGuard, которая определяет накрученные звёзды в GitHub-репозиториях, и ищет подозрительные зависимости. Код проекта открыт.
Автор StarGuard вдохновился исследователями Университета Карнеги — Меллона и компании Socket Inc, которые выяснили, что на GitHub есть более 4,5 млн фейковых оценок репозиториев. Злоумышленники создают фишинговые репозитории и накручивают звёзды. Также исследователи выяснили, что покупка фейковых оценок на специализированных площадках обойдётся в 0,1 доллара за одну звезду.
StarGuard позволяет проверить любой репозиторий не только на накрутку, но и на другие «красные флаги»: подозрительные зависимости, скрытые криптомайнеры, обфусцированный код и небезопасные лицензии. На вход утилита получает ссылку на репозиторий и возвращает отчёт в форматах JSON или Markdown.
Код StarGuard написан на Python и опубликован на GitHub. Также в репозитории есть инструкция по установке. Важно отметить, что для работы утилите нужен ключ GitHub API. Автор проекта отмечает, что инструмент может быть полезен CTO и специалистам по кибербезопасности.
