这个贴已经过去一阵子了,不过今天看又给翻出来了,于是补充一些信息与我个人的调查结果。
简单来说其实是一次严重的供应链投毒的余波,有关这个具体可以参见这篇文章:Sha1-Hulud 2.0 Supply Chain Attack: 25K+ Repos Exposed | Wiz Blog。而后面这篇文章还补充了我的见闻:
Some of these accounts also appear to have been used to “boost” the star counts of projects in the Tauri ecosystem.
一些相关资料,可供了解详情:
- 有关 Sha1-Hulud 2.0 的安全报告博文:Sha1-Hulud 2.0 Supply Chain Attack: 25K+ Repos Exposed | Wiz Blog
- GitHub Community 社区讨论: Suspicious Star Spikes on Specific Project, Likely Linked to Malicious Bot Activity · community · Discussion #180436
- 我对受害者与目标仓库的一些数据统计与分析: pilgrimlyieu/Sha1-Hulud-2-GitHub-Stars-Analysis: Analysis of Suspicious Star Spikes on Specific Project which Caused by Sha1-Hulud 2.0 Supply Chain Attack
- 个人完整经历记录: 当 GitHub Star 变成攻击信号:亲历 Sha1-Hulud 2.0 供应链攻击 | Shrine
下面是原贴:
早上看 GitHub 的时候,发现小透明项目突然有了 123 star(之前只有 1 star 的),那一瞬间是有点幸福的,一瞬间还想过是不是给哪个大佬相中临幸推广了。但随即就感觉非常不对劲,我也没进行宣传什么的,为何莫名其妙就有这么多 star 呢?此外我还注意到 star 的时间都相当集中。
一开始点开来几个账户,看起来活动都挺正常的,肉眼很难直接分辨是不是机器人养的号。但很快就注意到了端倪,他们大多都有七八百个 star,多者可能上千。
然后我随便点开来几个 star 的记录,发现都为 Hrishikesh332 (Hrishikesh Yadav) 这个用户的多个仓库(甚至包括一些莫名其妙的 fork)star 了。
后面我又仔细翻了其中几个的 star 历史,还翻到了 arpitbbhayani (Arpit Bhayani) 的多个仓库也被 star 了。
更早还有少量 linus (Linus G Thiel) 与 torvalds (Linus Torvalds) 的,不过我推测这只是选个名气大的做掩饰。
然后再往早一点的就是各种各样的项目了。一开始我还没注意到,但很快发现了其中有不少仓库的主要语言是 Rust,而其他的要不是 TypeScript,也是 Vue, Svelte 之类的语言。然后我随便点几个进去看,果然都是 Tauri 开发的,无一例外。
这下明白为什么会有我的小透明仓库了,前阵子刚把我的项目上传到 tauri-apps/awesome-tauri: 
Awesome Tauri Apps, Plugins and Resources,翻到我的项目的时候,也在 star 记录中看到了其他的 Awesome Tauri 项目。
已经在 GitHub Support 开了个工单,不过也不确定 GitHub 会不会处理。毕竟我上一个工单已经开了几个月还是无人回复。
记录一下,看看有没有人有类似的经历,以及有没有什么好的解决方法。
补充一些内容。下面是 Star History,短期内以比较稳定的频率增长:
pilgrimlyieu/Focust,Thu Nov 20 2025 08:47:36 GMT+0800 (中国标准时间),1
pilgrimlyieu/Focust,Wed Nov 26 2025 01:48:16 GMT+0800 (中国标准时间),8
pilgrimlyieu/Focust,Wed Nov 26 2025 01:50:08 GMT+0800 (中国标准时间),15
pilgrimlyieu/Focust,Wed Nov 26 2025 01:52:14 GMT+0800 (中国标准时间),22
pilgrimlyieu/Focust,Wed Nov 26 2025 01:53:50 GMT+0800 (中国标准时间),29
pilgrimlyieu/Focust,Wed Nov 26 2025 01:55:29 GMT+0800 (中国标准时间),36
pilgrimlyieu/Focust,Wed Nov 26 2025 01:57:07 GMT+0800 (中国标准时间),43
pilgrimlyieu/Focust,Wed Nov 26 2025 01:59:17 GMT+0800 (中国标准时间),50
pilgrimlyieu/Focust,Wed Nov 26 2025 02:00:54 GMT+0800 (中国标准时间),57
pilgrimlyieu/Focust,Wed Nov 26 2025 02:02:33 GMT+0800 (中国标准时间),64
pilgrimlyieu/Focust,Wed Nov 26 2025 02:04:35 GMT+0800 (中国标准时间),71
pilgrimlyieu/Focust,Wed Nov 26 2025 02:06:15 GMT+0800 (中国标准时间),78
pilgrimlyieu/Focust,Wed Nov 26 2025 02:08:07 GMT+0800 (中国标准时间),85
pilgrimlyieu/Focust,Wed Nov 26 2025 02:09:49 GMT+0800 (中国标准时间),92
pilgrimlyieu/Focust,Wed Nov 26 2025 02:11:36 GMT+0800 (中国标准时间),99
pilgrimlyieu/Focust,Wed Nov 26 2025 02:13:31 GMT+0800 (中国标准时间),106
pilgrimlyieu/Focust,Wed Nov 26 2025 02:15:11 GMT+0800 (中国标准时间),113
pilgrimlyieu/Focust,Wed Nov 26 2025 11:27:27 GMT+0800 (中国标准时间),122
现在只有 121 了,有两个已经取消了。我想可能这些账号确实都是正常的,只是 token 泄露了,被黑产所利用了。因此也请各位保管好 token。
以及这个算不算是一件好事呢?或许吧,我最初看到这么多 star 还是挺开心的,毕竟我所有项目的 star 凑一起可能都没这刷的零头。
但是我又再想了一下,如果我看到其他人的项目凭空多出来这么多 star,而且 star 的人记录非常可疑,我会有什么想法呢?我思考了一下,我可能会降低对这个项目乃至于对作者的评价与看法,哪怕他的项目写得非常好。由于不是我的项目,我可能不会刨根问底,去探寻究竟他的项目是被黑产当作是掩护的,还是他就是黑产的最终目标。
换位思考一下,我不希望我的项目被人这样看待。因此如果可能的话,我还是希望这些 star 能够被清除。
再补充,发现了新特征,一些被利用的账户仓库点开来,README 被篡改为了一个 AI 广告和一个 Discord 链接。
不过我看了一下,现在已经 force push 清洗掉了,用的是 Linus 的名义
但 GitHub Activity 还是能看到活动。
除此以外仓库简介也被篡改为粗言:
我在 GitHub Community 开了一个讨论: Suspicious Star Spikes on Specific Project, Likely Linked to Malicious Bot Activity · community · Discussion #180436
