Исследование мошеннической активности, связанной с накруткой звёзд на GitHub, проанализировало данные о 15 835 репозиториях и 278 000 аккаунтов, участвовавших в кампаниях по созданию фальшивых звёзд. Основные выводы включают:
Ограниченное распространение фальшивых звёзд:
Лишь небольшое количество репозиториев с накрученными звёздами публикуются в пакетных регистрах, таких как npm или PyPI.
Ещё меньше достигают широкой популярности.
Короткий срок существования:
Большинство репозиториев, участвующих в накрутке звёзд, существуют лишь несколько дней.
Основное содержимое:
Многие из этих репозиториев связаны с пиратским программным обеспечением, игровыми читами и криптовалютными ботами.
Однако зачастую они представляют собой замаскированный кликбейт с вредоносным ПО.
Эффективность фальшивых звёзд:
Покупка фальшивых звёзд может временно увеличить видимость репозитория, обеспечивая краткосрочные преимущества (менее двух месяцев).
Однако их влияние в 3–4 раза меньше, чем от реальных звёзд, и в долгосрочной перспективе это может нанести ущерб репутации.
Данное исследование подчеркивает распространённость мошеннических практик и их ограниченную эффективность, что акцентирует необходимость повышенной бдительности в отношении накрутки звёзд для сохранения целостности платформ, таких как GitHub.
