Makalah ICSE 2026 yang Mengejutkan tentang "6 Juta Bintang Palsu"

Pada Research Track ICSE (The International Conference on Software Engineering) yang diselenggarakan di Brasil pada April 2026, salah satu presentasi yang paling menarik perhatian adalah makalah dengan penulis utama Hao He, mahasiswa Ph.D. dari CMU, berjudul "Six Million (Suspected) Fake Stars on GitHub: A Growing Spiral of Popularity Contests, Spams, and Malware". Peneliti bersama yang terlibat antara lain Profesor Asosiasi Bogdan Vasilescu dan Profesor Asosiasi Christian Kästner dari CMU, Alexandros Kapravelos dari North Carolina State University, serta Philipp Burckhardt, data scientist dari Socket.

Tim peneliti menganalisis 20 terabyte metadata GitHub dari GHArchive, mencakup total 6,7 miliar event dan 326 juta bintang, lalu mengembangkan alat deteksi orisinal bernama "StarScout". StarScout melakukan deteksi anomali dengan menggabungkan dua sinyal: "akun dengan aktivitas sangat rendah yang hanya memberi bintang pada satu repositori" dan "kluster lebih dari 50 akun yang memberi bintang secara serempak pada kelompok repositori yang sama dalam waktu singkat (Lockstep Pattern)". Hasilnya, sekitar 6 juta bintang yang tersebar di 18.617 repositori dicurigai kuat sebagai palsu, dengan jumlah akun yang terlibat mencapai sekitar 301.000.

Sebagai bukti kredibilitas makalah ini, 90,42% repositori yang diklasifikasikan sebagai tidak wajar oleh StarScout ternyata sudah dihapus oleh GitHub per Januari 2025, dan 57,07% akunnya pun telah dibekukan. Mengingat tingkat penghapusan repositori biasa hanya sekitar 5,03% dan tingkat penghapusan akun sekitar 3,54%, tingkat kesesuaian ini terbilang sangat tinggi. Profesor Asosiasi Vasilescu menyatakan dalam pengumuman resmi CMU: "Kaitan antara penipuan dan bintang palsu sudah lama disoroti, namun yang mengejutkan kami adalah 'jumlahnya'," dan menambahkan bahwa "ekosistem GitHub secara keseluruhan berfungsi layaknya 'attention economy' seperti media sosial."

Yang patut dicatat secara khusus adalah kampanye bintang palsu yang hingga awal 2022 hampir tidak ada sama sekali, meledak hingga 100 kali lipat pada Juli 2024. Pada bulan tersebut saja, diperkirakan 16,66% dari repositori dengan lebih dari 50 bintang kemungkinan besar terlibat dalam kampanye bintang palsu.

"GitHub Star" yang Dijual Secara Terbuka — Gambaran Lengkap Pasar yang Nyata

Ketika mendengar istilah "bintang palsu", banyak pembaca mungkin membayangkan pasar gelap yang beroperasi secara sembunyi-sembunyi di balik layar. Namun kenyataannya justru sebaliknya — beberapa pelaku usaha yang dilengkapi dengan situs e-commerce resmi, dukungan pelanggan 24 jam, hingga penerbitan faktur yang sesuai regulasi Uni Eropa, menjual bintang GitHub secara terang-terangan sebagai "produk" dagangan. Berikut ini adalah daftar penjual utama yang namanya kerap disebut di kalangan founder Silicon Valley maupun para VC. Masalah bintang palsu bukan sekadar rumor, melainkan kenyataan yang telah mapan sebagai aktivitas ekonomi.

Baddhi Shop (berbasis di Bangalore, India)

Baddhi Shop, yang berspesialisasi dalam pertumbuhan media sosial, menjual bintang GitHub sebagai menu resmi yang sejajar dengan followers Instagram, jumlah penayangan YouTube, dan likes TikTok. Harganya sangat terjangkau, yakni 1.000 bintang seharga 64 dolar AS (sekitar Rp 1.024.000), menjadikannya salah satu vendor yang paling sering disebut di kalangan founder OSS dan konsultan pertumbuhan. Dalam pengujian nyata yang dilakukan oleh Fraser Marlow dari Dagster menggunakan repositori dummy miliknya (frasermarlow/tap-bls), dilaporkan bahwa sekitar 75% bintang yang dibeli melalui Baddhi Shop dihapus oleh GitHub dalam waktu kurang dari satu bulan, namun tetap menunjukkan daya ledak yang cukup untuk merangsang algoritma Trending dalam jangka pendek.

GitHub24 (berbasis di Munich, Jerman)

GitHub24 adalah pelaku usaha resmi asal Eropa yang dioperasikan oleh badan hukum Moller und Ringauf GbR yang terdaftar secara komersial di Munich. Harganya €0,85 per bintang (sekitar Rp 14.500), sekitar 13 kali lebih mahal dari Baddhi Shop, namun dalam eksperimen Dagster, hampir semua bintang yang dibeli bertahan selama beberapa bulan, sehingga memantapkan posisinya sebagai penyedia "bintang berkualitas tinggi dan permanen". Informasi pendaftaran badan hukum, rekening bank, hingga penerbitan faktur sesuai regulasi EU semuanya transparan, dan tampilan legalitas berupa kemampuan untuk dibeli sebagai 'biaya pemasaran' yang dapat dibebankan sebagai pengeluaran bisnis secara signifikan menurunkan hambatan psikologis bagi staf keuangan startup.

Kelompok vendor asal AS yang terkenal di lingkaran Silicon Valley

Di antara penjual asal AS yang dicantumkan oleh Yehuda Gelb dari Checkmarx dalam "The GitHub Black Market" terdapat: SocialPlug.io (menawarkan pembayaran multi-mata uang dan dukungan 24 jam, terdaftar di Nevada), Buy.fans (model cross-sell Twitter/Instagram/GitHub), GitHubPromoter.com (pemain lama yang khusus bergerak di GitHub), Boost-Like.store (menerima pesanan mulai dari 5 bintang), Followdeh.com, Vurike.com, dan belasan perusahaan lainnya. Kesamaan di antara vendor-vendor ini adalah adanya lini produk yang secara eksplisit menggunakan konteks Silicon Valley, seperti "Silicon Valley Developer Credibility Package" dan "Seed-Stage Founder Boost". Halaman penjualan mereka secara tegas mencantumkan skenario spesifik sebagai target pelanggan, seperti "sebelum demo day YC (Y Combinator)" atau "sebelum penggalangan dana Seri A", dengan bujukan penjualan yang terang-terangan menarget jalur sourcing para VC.

Saluran distribusi di Fiverr dan Telegram

Di Fiverr, pasar freelance asal Amerika, pencarian dengan kata kunci seperti "GitHub Star Boost", "GitHub Fork Service", atau "GitHub Trending Service" menghasilkan ratusan gig (layanan satu kali), yang dapat dipesan mulai dari 5 dolar AS. Selain itu, di Telegram, saluran khusus berbahasa Inggris, Rusia, dan Mandarin beroperasi terus-menerus, dengan grup penjualan yang menerima pembayaran dalam mata uang kripto, rubel, maupun yuan. Laporan pelacakan berkelanjutan dari The Hacker News dan BleepingComputer mengungkap gambaran bahwa pasar global ini beroperasi dengan segmentasi wilayah yang berbeda-beda.

Segmen tertinggi: pasar "aged account" seharga 75 juta rupiah per akun

Produk paling mahal adalah "persona GitHub siap pakai" yang diperdagangkan seharga sekitar 5.000 dolar AS (sekitar Rp 75.000.000) per akun. Ini merujuk pada akun yang dibuat lebih dari dua tahun lalu, memiliki riwayat commit yang berkelanjutan, followers, serta rekam jejak fork, dan telah "dibesarkan" hingga tidak bisa dibedakan dari pengembang berpengalaman yang nyata. Menurut laporan DEV Community, akun-akun semacam ini digunakan untuk berbagai keperluan: memalsukan riwayat karier pengusaha OSS, memalsukan profil saat melamar pekerjaan, memberi kredibilitas pada repositori malware, bahkan memalsukan "daftar core maintainer" yang dilampirkan dalam slide pitch untuk VC. Fakta bahwa harga 75 juta rupiah per akun ini stabil sebagai pasar tersendiri merupakan bukti terkuat bahwa ekosistem palsu ini memiliki rasionalitas ekonomi yang memadai dan permintaan yang terus-menerus.

Dengan demikian, "bintang palsu" bukan lagi produk langka yang diperjualbelikan secara gelap oleh segelintir peretas, melainkan telah berubah menjadi layanan resmi yang dijual oleh pelaku usaha profesional melalui halaman produk publik dengan pembayaran kartu kredit. Yang mengejutkan bagi para VC Silicon Valley dan founder OSS adalah kenyataan bahwa pesaing mereka atau kandidat portofolio investasi bisa membeli semua ini dari web publik yang sama yang mereka gunakan, hanya dengan satu transaksi kartu kredit. Pada bab-bab berikutnya, kita akan mengikuti secara berurutan kasus penipuan investasi dan insiden malware yang muncul akibat penggunaan vendor-vendor ini, serta langkah-langkah defensif konkret yang mulai diambil oleh VC Tier 1.

Kewaspadaan "Gelembung Reputasi" yang Dirasakan oleh VC Silicon Valley

VC Tier 1 mulai memandang masalah ini bukan sekadar kecurangan teknis, melainkan sebagai "risiko yang mengguncang fondasi Due Diligence (penelaahan investasi)". Panduan penggalangan dana berbasis data yang pernah dipublikasikan oleh Jordan Segall, partner di Redpoint Ventures, berjudul "So How Many Stars Is Enough?", telah banyak dirujuk sebagai tolok ukur industri karena menyajikan angka konkret dari analisis lebih dari 80 perusahaan developer tools: median 2.850 stars saat penggalangan dana seed, dan 4.980 stars pada saat Series A. Dalam artikel tersebut, Segall secara terus terang menyatakan bahwa "banyak VC menulis program scraping sendiri untuk menemukan proyek GitHub yang tumbuh pesat, dan metrik yang paling banyak dirujuk dalam proses itu adalah stars" — sebuah pengakuan yang mengonfirmasi kenyataan bahwa jumlah stars terhubung langsung dengan pipeline sourcing para VC.

Namun, meluasnya pengetahuan tentang "aturan praktis 2.850 stars setara seed" justru melahirkan insentif yang berjalan ke arah sebaliknya. Layanan yang tampak sah seperti GitHub24 (dioperasikan oleh Moller und Ringauf GbR, badan hukum terdaftar di Munich, Jerman) memperjualbelikan stars dengan harga €0,85 per bintang (sekitar Rp14.000), sehingga biaya yang dibutuhkan untuk memalsukan 2.850 stars hanyalah sekitar €2.422 (sekitar Rp39,5 juta), dan bahkan untuk 4.980 stars — median Series A — hanya €4.233 (sekitar Rp68,9 juta). Jika dibandingkan dengan median penggalangan dana seed pada periode yang sama sebesar $1 juta hingga $10 juta (sekitar Rp1,5 miliar hingga Rp15 miliar), ROI-nya mencapai rasio yang tidak wajar, yakni 3.500 hingga 117.000 kali lipat. Media SaaS terkemuka Silicon Valley SaaStr dan newsletter investor dari The Information ramai-ramai mengangkat "efisiensi investasi yang asimetris" ini, dan membunyikan alarm bahwa "GitHub stars bukan lagi indikator pengambilan keputusan yang independen".

Liputan khusus majalah Awesome Agents pada April 2026 berjudul "Inside GitHub's Fake Star Economy" melaporkan bahwa sejumlah venture partner Silicon Valley secara anonim mengungkapkan, "Setidaknya ada beberapa keputusan investasi dalam dua tahun terakhir yang mungkin akan kami pertimbangkan ulang seandainya kami memverifikasi riwayat stars-nya belakangan." Hal ini mengisyaratkan bahwa bahkan VC Tier 1 pun mulai kehilangan kemampuan untuk membersihkan diri dari dalam.

Kasus "Penipuan Investasi" yang Menipu VC (Venture Capital)

Penipuan investasi menggunakan fake star GitHub telah muncul dalam bentuk preseden hukum yang konkret. Manish Lachwani, mantan CEO startup otomasi pengujian HeadSpin, didakwa atas penipuan kawat (Wire Fraud) dan penipuan sekuritas karena menggelembungkan pendapatan hingga sekitar empat kali lipat dari angka sebenarnya, serta menyajikan Apple dan American Express sebagai pelanggan palsu kepada investor. Atas penipuan penggalangan dana senilai total 80 juta dolar (sekitar 12 miliar yen), pada April 2024 ia dijatuhi hukuman penjara 18 bulan dan denda 1 juta dolar (sekitar 150 juta yen). Para ahli hukum menempatkan putusan ini sebagai preseden penting yang secara eksplisit menunjukkan bahwa "penggelembungan soft metric dapat menjadi subjek sanksi pidana," dan pandangan bahwa "jika investor menanamkan modal berdasarkan jumlah star, maka pembelian fake star dapat masuk dalam kerangka penipuan kawat" pun semakin meluas.

Selain itu, dalam ROSS Index (Runa Open Source Startups Index) yang dipublikasikan oleh perusahaan modal ventura Runa Capital, Union Labs (startup terkait blockchain) meraih peringkat pertama pada kuartal kedua 2025 dengan mencatat pertumbuhan star sebesar 54,2 kali lipat secara kuartalan dan total 74.300 star. Namun ketika StarScout menganalisisnya di kemudian hari, ditemukan bahwa 47,4% dari star Union Labs dicurigai sebagai fake star, dengan 32,7% akun pemberi star merupakan akun yang "tidak memiliki satu pun repositori" dan 52% merupakan akun dengan "nol pengikut". Rasio Fork terhadap Star sebesar 0,052 menunjukkan nilai anomali yang jauh di bawah rata-rata proyek sehat sebesar 0,16, mengindikasikan kemungkinan bahwa peringkat itu sendiri—yang mendorong siklus investasi—telah terkontaminasi. ROSS Index dijadikan referensi oleh para VC di seluruh dunia sebagai "alat penemuan startup OSS baru yang menjanjikan," sehingga dampak dari goyahnya kredibilitasnya tidak dapat diukur.

Federal Trade Commission (FTC) Amerika Serikat pada Oktober 2024 menyelesaikan "Consumer Review Rule (Aturan Ulasan Konsumen)" yang secara eksplisit melarang tindakan pemalsuan pengaruh media sosial untuk tujuan komersial. Karena pelanggaran dapat dikenai sanksi perdata hingga 53.088 dolar (sekitar 8 juta yen) per kasus, penggunaan fake star dalam proses penggalangan dana ekuitas berarti munculnya risiko sanksi dari FTC selain dari SEC.

Penyamaran "Bot Farm" yang Telah Diperhalus

Bot farm sebelum tahun 2024 umumnya bersifat "mencurigakan secara kasat mata", seperti akun yang baru dibuat langsung memberikan bintang secara massal dengan profil yang masih kosong. Namun, bot farm sejak tahun 2025 semakin sulit dibedakan dari manusia dengan memanfaatkan akun yang telah melalui proses "pengembangan (aging)" dalam jangka panjang.

Menurut analisis yang diterbitkan StartupHub.ai pada April 2026, keterlibatan palsu generasi saat ini telah berevolusi hingga mampu "menghasilkan ulasan teknis dalam beberapa paragraf secara otomatis, membuka Issue lengkap dengan langkah reproduksi, dan mengirimkan Pull Request yang berisi perubahan kode yang bermakna." Selain itu, seluruh "konteks sosial" direkayasa secara menyeluruh, mulai dari foto profil yang dihasilkan AI, riwayat komit palsu yang berlanjut selama berbulan-bulan, repositori yang di-fork, teks bio, hingga pengikut. Harga pasar "aged account" semacam ini diperdagangkan seharga $0,80–$0,90 per bintang (sekitar 120–135 yen), lebih dari 10 kali lipat harga akun sekali pakai.

Fraser Marlow, mantan CEO Dagster, secara terbuka mengaku dalam blog teknik perusahaannya bahwa "sebelum masa pendanaan, saya menghabiskan cukup banyak waktu untuk 'bintang GitHub'." Untuk keperluan verifikasi, ia membuat repositori dummy sendiri (frasermarlow/tap-bls) dan benar-benar membeli bintang dari beberapa vendor, termasuk Baddhi Shop (1.000 bintang seharga $64: sekitar 9.600 yen) dan GitHub24, lalu mengamati perilakunya. Hasilnya menunjukkan "perbedaan kualitas sesuai harga": dalam kasus Baddhi Shop, 75% bintang dihapus dalam waktu kurang dari satu bulan, sementara hampir semua bintang dari GitHub24 tetap bertahan.

Peretasan Algoritma Tab "GitHub Trending"

Tab "Trending" yang muncul di tab Explore GitHub merupakan pintu masuk penting bagi pengguna baru untuk menemukan proyek. Sebanyak 78 repositori yang terdeteksi menjalankan kampanye bintang palsu pernah muncul di GitHub Trending, membuktikan bahwa algoritma tersebut memang berhasil dimanipulasi. Misalnya, jika sebuah repositori melonjak dari 10 bintang menjadi 500 bintang dalam satu minggu, algoritma Trending akan memperkuatnya sebagai "sedang naik daun", lalu menampilkannya di halaman depan sehingga terlihat oleh para pengembang nyata, yang kemudian secara berantai memberikan "bintang asli"—menciptakan apa yang disebut efek bootstrap.

Media keamanan BleepingComputer menggambarkan mekanisme ini sebagai "saluran distribusi yang sangat efektif bagi repositori malware, karena memungkinkan perolehan peringkat teratas yang dipercaya oleh investor maupun pengembang dalam waktu singkat." Lebih jauh, sebagaimana diungkapkan oleh Yehuda Gelb dari Checkmarx dalam tulisannya "The GitHub Black Market: Gaming the Star Ranking Game", setidaknya belasan penyedia layanan seperti SocialPlug.io, Buy.fans, Boost-Like.store, GitHubPromoter.com, Followdeh.com, dan Vurike.com secara terang-terangan menawarkan penjualan bintang, sementara transaksi serupa juga berlangsung secara rutin di Fiverr dan berbagai kanal Telegram.

Serangan "Bot Negatif" terhadap Perusahaan Pesaing

GitHub tidak memiliki tombol "penilaian negatif" seperti di media sosial, namun serangan bot yang bertujuan mencapai efek serupa sudah mulai muncul ke permukaan. Secara konkret, modus yang digunakan antara lain mengirimkan laporan massal ("Report spam/abuse") ke repositori perusahaan pesaing untuk memicu penangguhan otomatis oleh tim GitHub Trust & Safety, atau dengan sengaja membanjiri maintainer dengan Issue massal yang tidak bermakna dan PR berkualitas rendah demi menyita waktu mereka.

Insiden "hackerbot-claw" yang dilaporkan oleh StepSecurity pada Maret 2026 menggambarkan babak baru ini. Antara 21 Februari hingga 2 Maret 2026, sebuah bot berbasis AI yang mengaku sebagai "autonomous security research agent" (diklaim menggunakan Claude-Opus-4.5 secara internal) menyasar pipeline CI/CD dari setidaknya 7 proyek open source terkemuka—termasuk Microsoft, DataDog, dan CNCF—dengan secara otomatis merotasi 5 metode serangan sambil berulang kali mengeksekusi kode jarak jauh. Pada salah satu repositori terkenal, bot tersebut berhasil mencuri token GitHub dengan hak akses tulis, sehingga insiden ini tidak dipandang sebagai sekadar vandalisme, melainkan sebagai pelopor "serangan AI otonom yang bertujuan menyingkirkan pesaing atau meraup keuntungan finansial."

Lebih lanjut, pada April 2026 terdeteksi kampanye yang disebut "prt-scan", di mana para penyerang mengirimkan 475 PR berbahaya kepada organisasi terkemuka dan pengembang individu hanya dalam kurun waktu 26 jam. Sementara para maintainer di pihak penerima kewalahan melakukan review, serangan ini sekaligus mengalihkan perhatian ke vektor serangan lain—pola gangguan yang sangat tipikal. Merespons hal ini, kepala divisi Trust & Safety GitHub mengumumkan rencana uji coba pembatasan laju PR (PR rate limit) dan pemeriksaan berbasis AI gate pada kuartal kedua tahun 2026.

Contoh Serangan Rantai Pasokan (Penyebaran Malware)

Bahaya terbesar dari bintang palsu adalah penyebaran malware melalui repositori yang memalsukan kredibilitas. Dalam penelitian CMU, banyak repositori yang mendapatkan bintang palsu merupakan repositori malware tipe phishing berumur pendek yang menyamar sebagai "perangkat lunak bajakan", "cheat game", atau "bot kripto". Dalam analisis Socket, 28 repositori yang terdeteksi sebagai malware oleh VirusTotal masih tersisa di GitHub pada saat pengumuman. Sebagai contoh representatif, Solmonster/PhantomSniper-Solana-Sniper-Bot yang disebutkan secara eksplisit oleh para peneliti Socket, menyamar sebagai "snipe bot" untuk Solana, namun dirancang untuk menjalankan skrip jarak jauh yang diobfuskasi melalui pemanggilan spawn() tersembunyi guna menguras dana dari dompet kripto pengguna. Pada saat terdeteksi, repositori ini memiliki 109 bintang palsu, dan banyak korban telah menulis peringatan di thread Issue.

Insiden yang lebih besar adalah kompromi rantai pasokan tj-actions/changed-files (CVE-2025-30066) yang terjadi pada Maret 2025. GitHub Action ini digunakan oleh lebih dari 23.000 repositori; penyerang berhasil mencuri PAT milik @tj-actions-bot, kemudian menulis ulang semua tag versi ke commit berbahaya, sehingga menyebabkan kebocoran informasi sensitif seperti kunci akses AWS, GitHub PAT, token npm, dan kunci privat RSA ke dalam log workflow melalui memory dump CI runner. Vendor keamanan utama seperti CISA (Badan Keamanan Siber dan Infrastruktur Amerika Serikat), Wiz, Unit 42, Semgrep, dan Cycode secara berturut-turut mengeluarkan peringatan, dan dampaknya merambat ke reviewdog/action-setup@v1 (CVE-2025-30154) yang juga dimanipulasi pada periode yang sama.

Kemudian pada November 2025, terjadi kampanye "Shai-Hulud 2.0" yang menargetkan ekosistem npm. Unit 42, Microsoft Security, Wiz, CheckPoint, Arctic Wolf, dan Zscaler secara berturut-turut menerbitkan laporan rinci, dengan skala kerusakan mencakup lebih dari 25.000 repositori GitHub dan ratusan paket npm termasuk Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase, dan Postman. Penyerang menjalankan setup_bun.js dan bun_environment.js pada fase preinstall untuk mencuri token npm, token GitHub, kunci SSH, kredensial cloud, dan secret CI/CD korban, sekaligus menampilkan perilaku self-replicating dengan membuat repositori publik bernama "Shai-Hulud" di bawah akun korban dan melakukan commit informasi yang bocor ke sana.

Dalam serangan canggih semacam ini, bintang palsu berfungsi sebagai "pintu masuk pertama". Dengan mengkontaminasi jalur penemuan alat, probabilitas terjadinya kerugian meningkat secara signifikan. Dalam kampanye PyStoreRAT yang dilaporkan oleh The Hacker News pada Desember 2025, repositori yang menyamar sebagai alat OSINT atau utilitas GPT menggunakan bintang palsu untuk memalsukan kredibilitas, lalu menjangkau pengembang nyata melalui Discord dan blog teknis, sehingga berhasil mencatatkan puluhan ribu unduhan.

Penyamaran dengan tujuan "rekrutmen & branding"

Penyalahgunaan bintang palsu tidak hanya terbatas pada penilaian perusahaan, tetapi juga merambah ke proses rekrutmen individu. Karena perekrut dan manajer perusahaan merujuk profil GitHub sebagai "indikator pengganti kemampuan pengembang," para pencari kerja memiliki insentif kuat untuk memalsukan profil mereka sendiri. Menurut laporan DEV Community, "persona GitHub siap pakai" yang dilengkapi dengan riwayat matang, banyak pengikut, dan repositori berbintang diperdagangkan seharga sekitar $5.000 (sekitar 750.000 yen) per akun.

Sebaliknya, kasus penyerang yang menyamar sebagai perekrut juga semakin meningkat. Dalam kasus yang dilaporkan oleh ReversingLabs, perekrut palsu yang menggunakan LinkedIn dan GitHub mengirim pesan "Silakan jalankan tes coding kami di terminal rumah Anda," dan dikonfirmasi bahwa malware disebarkan pada saat paket Python berbahaya yang terdapat dalam proyek tersebut dieksekusi. Kampanye VMConnect ini disebut-sebut terkait dengan kelompok penyerang Korea Utara Lazarus Group. Dalam investigasi yang dipublikasikan pada tahun 2024 oleh peneliti komunitas Heiner di Medium, setidaknya 250 akun perekrut palsu yang "berbagi foto wanita dan bio serupa" berhasil diidentifikasi.

Lebih lanjut, Palo Alto Networks Unit 42 juga melaporkan kasus di mana penyerang menyiapkan repositori jebakan yang menyamar sebagai "patch" di GitHub, lalu mengarahkan peneliti keamanan yang sedang menyelidiki kerentanan perusahaan mereka ke sana, dan justru menginfeksi mereka dengan malware. Jumlah bintang yang banyak berfungsi sebagai alat peraga untuk menambahkan realisme pada jebakan ini.

Di sisi lain, ada pula risiko dalam mengidealkan kandidat rekrutmen secara berlebihan. StartupHub.ai menunjukkan siklus umpan balik negatif: "Semakin CTO perusahaan mementingkan jumlah bintang GitHub kandidat dalam wawancara, semakin kandidat tergoda untuk membeli bintang mereka sendiri." Argumennya adalah bahwa budaya di mana jumlah bintang menjadi faktor utama penilaian kandidat justru memperluas ekonomi profil palsu.

Per tahun 2026, langkah-langkah yang diambil oleh para eksekutif dan insinyur yang cerdas

Di dunia di mana kredibilitas jumlah bintang telah runtuh, para VC Tier 1 dan CTO mulai mengadopsi kombinasi metrik alternatif yang tidak bergantung pada bintang. Ini bukan tentang mencari satu "metrik ajaib", melainkan pendekatan yang lebih mendekati validasi silang dari beberapa sudut pandang independen.

Pemeriksaan Bentuk Grafik Star History (Riwayat Bintang)

Pemeriksaan pertama adalah memvisualisasikan distribusi waktu pemberian bintang. Pertumbuhan alami menggambarkan kurva yang landai secara keseluruhan, diselingi lonjakan kecil yang dipicu oleh berita, penampilan di konferensi, rilis mayor, dan sebagainya. Sebaliknya, bintang palsu menggambarkan tebing vertikal (lonjakan) dalam rentang 24 hingga 48 jam yang sama sekali tidak berkorelasi dengan peningkatan Issue, PR, atau Discussion. Perbedaan ini sangat jelas bahkan bagi mata manusia, dan budaya untuk memeriksanya menggunakan visualisasi seperti star-history.com sudah menjadi standar de facto pada musim semi 2026. Dalam artikel yang ditulis Joe Junior Frecce di Medium pada April 2026 berjudul "Your GitHub Stars Might Be Fake", disebutkan: "Investor mengamati kurva pertumbuhan bintang Anda. Pertumbuhan bertahap dengan distribusi geografis yang luas kini jauh lebih dipercaya daripada lonjakan yang terkonsentrasi dalam satu minggu."

Pentingnya Metrik Penggunaan Nyata (Jumlah Unduhan NPM/PyPI)

Jumlah bintang hanyalah "jumlah orang yang menyadari keberadaan repositori tersebut", sedangkan jumlah unduhan NPM dan PyPI mewakili "jumlah kali paket tersebut benar-benar diinstal dan digunakan", sehingga menjadi metrik yang lebih dekat dengan realitas penggunaan. Namun demikian, sebagaimana terbukti dari eksperimen yang dipublikasikan oleh developer Andy Richardson yang berhasil mendorong paket buatannya hingga hampir 1 juta unduhan per minggu hanya dengan menggunakan tier gratis AWS Lambda, jumlah unduhan itu sendiri pun tidak bisa ditelan mentah-mentah jika berdiri sendiri. Oleh karena itu, praktik terbaik 2026 adalah melihat secara bersamaan "distribusi geografis", "distribusi waktu", dan "pola migrasi antar versi" dari jumlah unduhan. Dashboard visualisasi yang disediakan oleh Socket, Snyk, libraries.io, dan npmtrends.com memudahkan pemeriksaan multidimensi semacam ini.

"Kualitas" Fork

Fork adalah tindakan yang lebih melekat dibandingkan bintang, namun jumlahnya pun tetap bisa dibeli. Yang benar-benar penting adalah proporsi "fork aktif" — apakah akun yang melakukan fork telah menambahkan commit orisinil pada kode tersebut dan memanfaatkannya dalam proyek mereka sendiri. Pada proyek OSS yang sehat, jumlah Fork dikatakan berada di kisaran 15–25% dari jumlah Bintang. Rasio ekstrem rendah 0,052 milik Union Labs yang diperkenalkan dalam makalah CMU, dan 0,017 milik FreeDomain (di mana 81,3% bintangnya berasal dari "akun tanpa pengikut"), sudah berada pada tingkat di mana pemalsuan dapat dibaca bahkan dengan mata telanjang.

Jumlah Repositori Dependen (Used by)

Jika grafik dependensi GitHub aktif, dipublikasikan ke ekosistem paket yang sesuai (npm, PyPI, Go modules, dll.), dan bergantung pada 100 repositori atau lebih, bagian "Used by" akan ditampilkan di sidebar kanan layar repositori. Karena ini menunjukkan "posisi hulu" dalam rantai pasokan, metrik ini sangat sulit untuk dipalsukan. Di kalangan VC Tier 1 dan CTO perusahaan teknologi besar, budaya untuk meninjau daftar avatar "Used by" ini saat mengevaluasi kandidat akuisisi atau perangkat lunak yang sedang dipertimbangkan — bahkan memeriksa kualitas komposisi sumber ketergantungan (apakah akun anonim atau organisasi ternama) — semakin mengakar.

Panduan Bessemer yang Menekankan "Unique Monthly Contributors"

Bessemer Venture Partners mendefinisikan "metrik bintang utara" dalam investasi open source sebagai Unique Monthly Contributor Activity (jumlah kontributor unik per bulan). Menurut materi Atlas mereka, kontributor didefinisikan secara luas sebagai "pengguna yang dalam satu bulan melakukan salah satu dari: membuat Issue, mengomentari Issue, membuat PR, atau melakukan commit". Mencapai 100 orang/bulan secara konsisten dinilai menjanjikan, dan melampaui 250 orang/bulan secara berkelanjutan dinilai sebagai kelas teratas. Luasnya definisi ini memanfaatkan sifat bahwa biaya untuk mensimulasikan Issue, PR, dan commit secara terus-menerus dalam periode tertentu — bahkan dengan bot yang canggih — melonjak secara dramatis.

Integrasi Alat Deteksi Bintang Palsu Otomatis

Tim engineering independen juga telah mempublikasikan teknologi deteksi. dagster-io/fake-star-detector yang dipublikasikan oleh Dagster adalah pipeline yang menggabungkan Dagster, dbt, dan BigQuery, yang dalam verifikasi tim Fraser Marlow mencapai akurasi 98% dan recall 85%. Ullaakut/astronomer adalah alat CLI yang memperkirakan "probabilitas bahwa orang yang memberi bintang adalah manusia nyata" berdasarkan riwayat aktivitas akun. m-ahmed-elbeskeri/Starguard telah diadopsi oleh tim keamanan dan VC sebagai alat audit OSS yang meninjau tidak hanya bintang palsu, tetapi juga indikasi pembajakan dependensi dan sinyal merah lisensi secara sekaligus. mercurialsolo/realstars adalah ekstensi Chrome + plugin Claude Code yang menerapkan penelitian StarScout dari CMU, memungkinkan evaluasi repositori langsung di browser. Setelah 2026, gerakan untuk mengintegrasikan alat-alat ini ke dalam pipeline CI/CD dan Software Composition Analysis (SCA) berkembang dengan pesat.

Respons Institusional dari Industri VC

Sequoia Capital dan Andreessen Horowitz (a16z), meski menghindari penyebutan langsung di blog resmi mereka, dilaporkan telah menambahkan "analisis machine learning pada riwayat bintang", "tinjauan manual distribusi kontributor", dan "cross-check NPM/PyPI dengan GitHub" ke dalam checklist Due Diligence internal mereka (berdasarkan postingan dari StartupHub.ai dan thread anonim di Hacker News). Menyusul insiden backdoor XZ Utils sejak 2024 (di mana penyerang dengan nama Jia Tan mengambil alih hak akses co-maintainer selama lebih dari dua tahun), Linux Foundation telah mempublikasikan panduan "evaluasi risiko maintainer dengan mengasumsikan rekayasa sosial". Hal ini pun terhubung dengan gerakan di mana VC tidak hanya mengevaluasi "volume aktivitas" proyek OSS, tetapi juga "kesehatan hubungan antarmanusia" di dalamnya.

Respons Media dan Prospek ke Depan

Media teknologi terkemuka seperti Computing (Inggris), Slashdot, Bleeping Computer, The Hacker News, TechTarget, DevOps.com, dan How-To Geek (semuanya berbasis AS) telah mulai memperlakukan masalah bintang palsu bukan sebagai "urusan internal GitHub semata," melainkan sebagai tantangan "keandalan rantai pasokan OSS secara keseluruhan," terutama sejak diterbitkannya makalah CMU/Socket. GIGAZINE dari Jepang juga menerbitkan artikel penjelas bertajuk "Realita Mengerikan dari Ekonomi Bintang Palsu di GitHub" pada 21 April 2026, yang mengulas secara rinci distorsi dalam ekonomi bintang dan risiko dalam pengambilan keputusan investasi.

Sejumlah VC di Silicon Valley kompak menyatakan, "Kami tidak berhenti melihat bintang, tetapi hanya menggunakannya sebagai 'pintu masuk' saja." Titik berat due diligence yang sesungguhnya kini bergeser ke pembacaan menyeluruh atas berbagai lapisan aktivitas manusia, seperti riwayat commit kode, kualitas issue, grafik dependensi, distribusi kontributor, dan "suhu" percakapan komunitas. Dilaporkan bahwa GitHub sedang mempertimbangkan uji coba penerapan fitur "Weighted Stars" (bintang berbobot) dan pemblokiran bayangan otomatis untuk akun-akun curang sejak paruh kedua tahun 2025. Namun, selama respons dari pihak platform belum mampu mengejar perkembangan masalah ini, situasi yang menuntut "kemampuan membaca situasi secara jeli" dari para investor maupun pengembang akan terus berlanjut.

Sebagaimana yang ditunjukkan oleh Profesor Vasilescu, "Tidak ada perangkat lunak yang ditulis dari nol saat ini; sejauh mungkin, semuanya menggunakan kembali yang sudah ada." Itulah mengapa ekonomi bintang palsu yang mencemari fondasi kepercayaan komunitas OSS dipandang bukan sekadar penipuan biasa, melainkan sebagai masalah yang menggerogoti fondasi industri perangkat lunak itu sendiri.

Respons Media dan Prospek ke Depan

Media teknologi terkemuka seperti majalah *Computing* (Inggris), Slashdot, Bleeping Computer, The Hacker News, TechTarget, DevOps.com, dan How-To Geek (semuanya berbasis AS) mulai memperlakukan masalah bintang palsu bukan sekadar "urusan internal GitHub", melainkan sebagai tantangan "keandalan rantai pasok OSS secara keseluruhan" — terutama sejak makalah CMU/Socket dipublikasikan. GIGAZINE dari Jepang pun pada 21 April 2026 menerbitkan artikel penjelasan berjudul "Kenyataan Mengerikan di Balik Ekonomi Bintang Palsu GitHub", yang mengulas secara rinci distorsi dalam ekonomi bintang serta rapuhnya dasar pengambilan keputusan investasi.

Sejumlah VC Silicon Valley serempak menyatakan, "Kami tidak berhenti melihat bintang, tapi kami hanya menggunakannya sebagai 'pintu masuk'." Titik berat due diligence yang sesungguhnya kini beralih ke pembacaan menyeluruh atas aktivitas manusia berlapis-lapis: riwayat commit kode, kualitas isu yang diajukan, grafik dependensi, distribusi kontributor, hingga "suhu" percakapan komunitas. Dilaporkan bahwa GitHub sedang mempertimbangkan uji coba fitur "Weighted Stars" (bintang berbobot) dan pemblokiran bayangan otomatis akun curang sejak paruh kedua 2025. Namun, selama respons dari pihak platform belum mampu mengejar laju masalah, baik investor maupun pengembang akan terus dituntut memiliki kemampuan "membaca situasi dengan tajam".

Sebagaimana ditegaskan oleh Associate Professor Vasilescu, "Tidak ada perangkat lunak yang ditulis dari nol saat ini; semuanya memanfaatkan kembali yang sudah ada semaksimal mungkin." Itulah mengapa ekonomi bintang palsu yang mencemari fondasi kepercayaan komunitas OSS tidak dipandang sekadar penipuan biasa, melainkan sebagai masalah yang menggerogoti fondasi industri perangkat lunak itu sendiri.

Sumber