Bài báo gây chấn động ICSE 2026: "6 triệu ngôi sao giả"

Tại Research Track của ICSE (The International Conference on Software Engineering) được tổ chức tại Brazil vào tháng 4 năm 2026, một trong những bài thuyết trình thu hút sự chú ý nhất là luận văn có tựa đề "Six Million (Suspected) Fake Stars on GitHub: A Growing Spiral of Popularity Contests, Spams, and Malware" (Sáu triệu ngôi sao giả (bị nghi ngờ) trên GitHub: Vòng xoáy ngày càng leo thang của các cuộc thi độ phổ biến, thư rác và phần mềm độc hại), với tác giả chính là Hao He, nghiên cứu sinh Tiến sĩ tại CMU. Các đồng tác giả bao gồm Phó Giáo sư Bogdan VasilescuPhó Giáo sư Christian Kästner từ CMU, Alexandros Kapravelos từ Đại học Bang North Carolina, và Philipp Burckhardt, nhà khoa học dữ liệu tại công ty Socket.

Nhóm nghiên cứu đã phân tích 20 terabyte siêu dữ liệu GitHub từ GHArchive, bao gồm tổng cộng 6,7 tỷ sự kiện và 326 triệu ngôi sao, đồng thời phát triển công cụ phát hiện độc quyền "StarScout". StarScout thực hiện phát hiện bất thường bằng cách kết hợp hai tín hiệu: "các tài khoản có hoạt động cực kỳ thấp chỉ gắn sao duy nhất một kho lưu trữ" và "các cụm từ 50 tài khoản trở lên đồng loạt gắn sao cho cùng một nhóm kho lưu trữ trong thời gian ngắn (Mô hình Lockstep)". Kết quả cho thấy có khoảng 6 triệu ngôi sao trải rộng trên 18.617 kho lưu trữ bị nghi ngờ mạnh là giả mạo, với số lượng tài khoản tham gia lên đến khoảng 301.000.

Để củng cố độ tin cậy của luận văn, 90,42% các kho lưu trữ mà StarScout xác định là gian lận đã bị GitHub xóa tính đến tháng 1 năm 2025, và 57,07% tài khoản cũng đã bị đóng băng. Xét rằng tỷ lệ xóa kho lưu trữ thông thường chỉ khoảng 5,03% và tỷ lệ xóa tài khoản khoảng 3,54%, đây là mức độ trùng khớp cực kỳ cao. Phó Giáo sư Vasilescu đã phát biểu trong thông cáo chính thức của CMU rằng: "Mối liên hệ giữa lừa đảo và ngôi sao giả đã được chỉ ra từ trước, nhưng điều khiến chúng tôi ngạc nhiên chính là 'quy mô' của nó", và còn nhận xét thêm: "Toàn bộ hệ sinh thái GitHub đang hoạt động như một 'nền kinh tế chú ý' tương tự mạng xã hội".

Điều đáng chú ý là các chiến dịch ngôi sao giả vốn gần như bằng không cho đến đầu năm 2022 đã bùng nổ lên quy mô gấp 100 lần vào tháng 7 năm 2024. Chỉ riêng trong tháng đó, ước tính 16,66% số kho lưu trữ có từ 50 ngôi sao trở lên có khả năng đã liên quan đến các chiến dịch ngôi sao giả.

"Sao GitHub" được bán công khai — Toàn cảnh một thị trường có thật

Khi nghe đến "sao giả", nhiều độc giả có thể hình dung ra một chợ đen hoạt động lén lút trong bóng tối. Thế nhưng thực tế hoàn toàn ngược lại — nhiều nhà cung cấp đang công khai bán GitHub star như một "sản phẩm" thương mại, đầy đủ website thương mại điện tử hợp pháp, hỗ trợ khách hàng 24/7, và thậm chí phát hành hóa đơn đạt chuẩn EU. Dưới đây là danh sách các nhà cung cấp tiêu biểu thường xuyên được nhắc đến trong giới founder và VC tại Silicon Valley. Vấn đề sao giả không phải tin đồn — đây đã là một thực tế kinh tế đã được định hình.

Baddhi Shop (trụ sở tại Bangalore, Ấn Độ)

Baddhi Shop, chuyên về tăng trưởng mạng xã hội, bán GitHub star như một dịch vụ chính thức bên cạnh follower Instagram, lượt xem YouTube và lượt thích TikTok. Giá niêm yết là 1.000 star với 64 USD (khoảng 1.600.000 VND) — cực kỳ rẻ — khiến đây là một trong những nhà cung cấp được nhắc đến nhiều nhất trong giới founder OSS và tư vấn tăng trưởng. Theo thử nghiệm thực tế do Fraser Marlow của Dagster thực hiện trên một repository giả (frasermarlow/tap-bls), khoảng 75% số star mua qua Baddhi Shop đã bị GitHub xóa trong vòng một tháng, nhưng chúng vẫn đủ mạnh để kích thích thuật toán Trending trong thời gian ngắn.

GitHub24 (trụ sở tại Munich, Đức)

GitHub24 là một doanh nghiệp châu Âu được vận hành bởi pháp nhân Moller und Ringauf GbR, đăng ký kinh doanh hợp pháp tại Munich. Giá là €0,85 mỗi star (khoảng 23.000 VND) — đắt hơn Baddhi Shop khoảng 13 lần — nhưng trong thử nghiệm của Dagster, gần như toàn bộ số star mua được vẫn tồn tại sau nhiều tháng, định vị dịch vụ này là "star chất lượng cao, bền vững". Thông tin đăng ký pháp nhân, tài khoản ngân hàng và hóa đơn đạt chuẩn EU đều được công khai minh bạch — lớp vỏ hợp pháp cho phép mua dưới danh nghĩa "chi phí marketing" được ghi vào sổ sách kế toán, điều này làm giảm đáng kể rào cản tâm lý đối với bộ phận tài chính của các startup.

Nhóm nhà cung cấp Mỹ nổi tiếng trong giới Silicon Valley

Trong bài "The GitHub Black Market" của Yehuda Gelb thuộc Checkmarx, các nhà cung cấp Mỹ được liệt kê gồm: SocialPlug.io (hỗ trợ đa tiền tệ và chăm sóc khách hàng 24/7, đăng ký tại Nevada), Buy.fans (cross-sell Twitter/Instagram/GitHub), GitHubPromoter.com (chuyên GitHub từ lâu đời), Boost-Like.store (đặt hàng tối thiểu từ 5 star), Followdeh.com, Vurike.com và hàng chục đơn vị khác. Điểm chung giữa các nhà cung cấp này là họ đều có các gói sản phẩm mang tên gọi gắn liền với bối cảnh Silicon Valley như "Silicon Valley Developer Credibility Package" hay "Seed-Stage Founder Boost". Trang bán hàng ghi rõ các tình huống cụ thể như "trước Demo Day của YC (Y Combinator)" hay "trước vòng gọi vốn Series A" như những khách hàng mục tiêu, với các luận điểm bán hàng trắng trợn nhắm vào pipeline tìm kiếm deal của VC.

Kênh phân phối trên Fiverr và Telegram

Trên Fiverr — chợ freelance của Mỹ — tìm kiếm các từ khóa như "GitHub Star Boost", "GitHub Fork Service" hay "GitHub Trending Service" sẽ ra hàng trăm gig (dịch vụ theo yêu cầu), đặt hàng từ 5 USD. Ngoài ra, trên Telegram, các kênh chuyên biệt theo tiếng Anh, tiếng Nga và tiếng Trung hoạt động liên tục, với các nhóm bán hàng chấp nhận tiền mã hóa, rúp và nhân dân tệ. Các báo cáo theo dõi liên tục của The Hacker News và BleepingComputer đã làm rõ bức tranh: một thị trường toàn cầu được phân chia theo từng khu vực địa lý.

Phân khúc cao cấp nhất: Thị trường "tài khoản đã ủ" giá 5.000 USD mỗi tài khoản

Sản phẩm đắt tiền nhất là "GitHub persona làm sẵn" được giao dịch ở mức khoảng 5.000 USD mỗi tài khoản (khoảng 125.000.000 VND). Đây là những tài khoản được tạo từ hơn 2 năm trước, có lịch sử commit liên tục, follower và fork thực tế, được "nuôi dưỡng" đến mức không thể phân biệt với một lập trình viên kỳ cựu thực sự. Theo tìm hiểu của DEV Community, những tài khoản này được tái sử dụng cho đủ mọi mục đích: làm giả lý lịch cho entrepreneur OSS, giả mạo hồ sơ khi nộp đơn tuyển dụng, tạo độ tin cậy cho repository phần mềm độc hại, thậm chí bịa đặt "danh sách core maintainer" để đưa vào slide pitch VC. Chính việc mức giá 5.000 USD mỗi tài khoản tồn tại ổn định như một thị trường đã là bằng chứng rõ ràng nhất rằng hệ sinh thái giả mạo này có tính hợp lý kinh tế và nhu cầu thường trực.

Như vậy, "sao giả" không còn là sản phẩm ngoại lệ được một số hacker mua bán trong bóng tối — chúng đã trở thành dịch vụ chính thống được các nhà cung cấp chuyên nghiệp công khai trên trang sản phẩm và bán qua thanh toán thẻ tín dụng. Điều gây sốc cho VC và OSS founder ở Silicon Valley chính là sự thật rằng đối thủ cạnh tranh hay ứng viên đầu tư tiềm năng của họ có thể mua những thứ này từ cùng một web công khai, chỉ với một giao dịch thẻ tín dụng duy nhất. Các chương tiếp theo sẽ lần lượt xem xét các vụ lừa đảo đầu tư và sự cố phần mềm độc hại nổi lên như hệ quả của việc sử dụng các nhà cung cấp này, cùng với các biện pháp phòng thủ cụ thể mà các VC Tier 1 đã bắt đầu áp dụng.

Cảnh giác về "bong bóng danh tiếng" mà các VC Thung lũng Silicon đang lo ngại

Các quỹ VC hạng nhất đang bắt đầu coi vấn đề này không chỉ là gian lận kỹ thuật đơn thuần, mà là "rủi ro làm lung lay nền tảng của Due Diligence (thẩm định đầu tư)". Hướng dẫn gây quỹ dựa trên dữ liệu "So How Many Stars Is Enough?" từng được công bố bởi Jordan Segall, đối tác tại Redpoint Ventures, đã trở thành chuẩn mực tham chiếu rộng rãi trong ngành khi đưa ra các con số cụ thể từ phân tích hơn 80 công ty công cụ dành cho nhà phát triển: giá trị trung vị là 2.850 star tại thời điểm gọi vốn hạt giống và 4.980 star tại Series A. Trong bài viết đó, Segall thẳng thắn nhận xét rằng "nhiều VC tự viết chương trình scraping riêng để tìm kiếm các dự án GitHub đang tăng trưởng nhanh, và metric được tham chiếu nhiều nhất trong quá trình đó chính là số star", qua đó xác nhận thực tế rằng số star gắn trực tiếp với pipeline tìm kiếm cơ hội đầu tư của các VC.

Tuy nhiên, chính việc quy tắc kinh nghiệm "2.850 star tương đương hạt giống" được biết đến rộng rãi đã tạo ra động lực ngược chiều. Các dịch vụ có vẻ ngoài hợp pháp như GitHub24 (do Moller und Ringauf GbR, pháp nhân đăng ký tại Munich, Đức vận hành) giao dịch với giá €0,85 (khoảng 138 yên) mỗi star, do đó chi phí để làm giả 2.850 star chỉ vào khoảng €2.422 (khoảng 395.000 yên), và ngay cả với 4.980 star — giá trị trung vị tại Series A — cũng chỉ tốn €4.233 (khoảng 689.000 yên). Khi xét rằng giá trị gọi vốn hạt giống trung vị cùng thời kỳ nằm trong khoảng 1 triệu đến 10 triệu đô la Mỹ (khoảng 1,5 tỷ đến 15 tỷ yên), ROI đạt tỷ lệ bất thường từ 3.500 lần đến tối đa 117.000 lần. Các tờ báo chuyên về SaaS tại Silicon Valley như SaaStr và bản tin dành cho nhà đầu tư của The Information đua nhau đưa tin về "lợi tức đầu tư bất cân xứng" này và đưa ra cảnh báo rằng "số star trên GitHub không còn là chỉ số ra quyết định độc lập nữa".

Trong số đặc biệt "Inside GitHub's Fake Star Economy" đăng trên tạp chí Awesome Agents vào tháng 4 năm 2026, nhiều venture partner tại Silicon Valley được dẫn lời ẩn danh rằng "trong số các quyết định đầu tư hai năm qua, ít nhất một vài trường hợp lẽ ra phải xem xét lại nếu kiểm tra lịch sử star sau này", cho thấy tình trạng ngay cả các VC hạng nhất cũng đang mất dần khả năng tự thanh lọc.

Các trường hợp "lừa đảo đầu tư" nhằm đánh lừa VC (Venture Capital)

Gian lận đầu tư sử dụng GitHub stars giả đã xuất hiện ở cấp độ án lệ cụ thể. Manish Lachwani, CEO của startup tự động hóa kiểm thử HeadSpin, đã bị truy tố về tội gian lận điện tín (Wire Fraud) và gian lận chứng khoán vì đã thổi phồng doanh thu lên khoảng 4 lần so với thực tế, đồng thời giới thiệu với nhà đầu tư rằng Apple và American Express là khách hàng giả. Ông ta đã bị tuyên phạt 18 tháng tù giam và khoản tiền phạt 1 triệu đô la (khoảng 1,5 tỷ đồng) vào tháng 4 năm 2024 vì đã lừa đảo trong quá trình gọi vốn tổng trị giá 80 triệu đô la (khoảng 12 tỷ yên). Các chuyên gia pháp lý coi bản án này là án lệ quan trọng cho thấy rõ "việc thổi phồng các chỉ số mềm có thể bị truy cứu trách nhiệm hình sự", và quan điểm rằng "nếu nhà đầu tư rót vốn dựa trên số lượng stars, thì việc mua stars giả có thể thuộc khuôn khổ gian lận điện tín" đang ngày càng phổ biến.

Ngoài ra, trong ROSS Index (Runa Open Source Startups Index) được công ty đầu tư mạo hiểm Runa Capital công bố, Union Labs (một startup liên quan đến blockchain) đã đạt vị trí số 1 trong bảng xếp hạng quý 2 năm 2025 với tốc độ tăng trưởng stars gấp 54,2 lần trong quý và tổng cộng 74.300 stars. Tuy nhiên, khi StarScout phân tích sau đó, kết quả cho thấy 47,4% stars của Union Labs bị nghi là stars giả, trong đó 32,7% tài khoản đã star là tài khoản "không có bất kỳ repository nào", và 52% là tài khoản "không có người theo dõi". Tỷ lệ Fork/Star là 0,052, thấp hơn đáng kể so với mức trung bình 0,16 của các dự án lành mạnh, cho thấy bất thường nghiêm trọng và khả năng bảng xếp hạng — vốn là động lực thúc đẩy chu kỳ đầu tư — đã bị làm ô nhiễm. ROSS Index được các VC trên toàn thế giới tham chiếu như một "công cụ khám phá các startup OSS mới nổi", và tác động từ sự lung lay về độ tin cậy của nó là không thể đo lường được.

Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) đã hoàn thiện "Consumer Review Rule (Quy tắc đánh giá người tiêu dùng)" vào tháng 10 năm 2024, trong đó cấm rõ ràng hành vi giả mạo ảnh hưởng trên mạng xã hội vì mục đích thương mại. Do mỗi vi phạm có thể bị phạt dân sự lên đến 53.088 đô la (khoảng 8 triệu yên), nếu stars giả được sử dụng trong quá trình gọi vốn cổ phần, rủi ro bị xử phạt không chỉ đến từ SEC mà còn từ FTC.

Che giấu "trang trại bot" được tinh chỉnh

Các trang trại bot trước năm 2024 chủ yếu hoạt động theo kiểu "lộ liễu dễ nhận ra" — các tài khoản vừa tạo xong, hồ sơ để trống, đồng loạt gắn sao ngay lập tức. Tuy nhiên, từ năm 2025 trở đi, các trang trại bot đã trở nên khó phân biệt với người dùng thật hơn, nhờ vào việc sử dụng các tài khoản đã qua quá trình "nuôi dưỡng (aging)" trong thời gian dài.

Theo phân tích được StartupHub.ai đăng tải vào tháng 4 năm 2026, thế hệ tương tác giả mạo hiện tại đã tiến hóa đến mức "tự động tạo các bài đánh giá kỹ thuật dài nhiều đoạn văn, mở Issue kèm theo các bước tái hiện lỗi, và gửi Pull Request chứa các thay đổi code có ý nghĩa thực sự." Hơn nữa, còn có sự dàn dựng toàn diện về "bối cảnh xã hội" bao gồm: ảnh hồ sơ do AI tạo ra, lịch sử commit giả mạo liên tục theo từng tháng, các repository đã fork, nội dung bio, và người theo dõi. Giá thị trường của các "aged account" như vậy dao động từ $0,80 đến $0,90 mỗi sao (khoảng 120–135 yên), gấp hơn 10 lần so với các tài khoản dùng một lần.

Fraser Marlow, cựu CEO của Dagster, đã thẳng thắn thừa nhận trên blog kỹ thuật của công ty rằng "Trong giai đoạn trước khi gọi vốn, tôi đã dành khá nhiều thời gian vào 'GitHub stars'." Để kiểm chứng, ông tự lập một repository thử nghiệm (frasermarlow/tap-bls) và thực sự mua sao từ nhiều nhà cung cấp khác nhau, bao gồm Baddhi Shop (1.000 sao với giá 64 đô la: khoảng 9.600 yên)GitHub24, nhằm quan sát hành vi của chúng. Kết quả cho thấy sự chênh lệch chất lượng đúng với mức giá: với Baddhi Shop, 75% số sao bị xóa trong vòng chưa đầy một tháng, trong khi với GitHub24, hầu hết các sao đều tồn tại.

Hack thuật toán tab "GitHub Trending"

Tab "Trending" hiển thị trên trang Explore của GitHub là một cửa ngõ quan trọng giúp người dùng mới khám phá các dự án. Trong số các repository bị phát hiện có chiến dịch fake star, 78 repository đã xuất hiện trên GitHub Trending, điều này chứng minh rằng thuật toán đang bị hack một cách có hệ thống. Chẳng hạn, nếu một repository tăng đột biến từ 10 star lên 500 star trong một tuần, thuật toán Trending sẽ khuếch đại nó như một "đang tăng mạnh", đưa nó lên trang chủ trước mắt các nhà phát triển thực sự, từ đó kéo theo một chuỗi "star thật" — tạo ra cái gọi là hiệu ứng bootstrap.

Trang tin tức bảo mật BleepingComputer mô tả cơ chế này là "kênh phân phối cực kỳ hiệu quả đối với các repository chứa mã độc, vì nó cho phép đạt được thứ hạng hàng đầu — được cả nhà đầu tư lẫn nhà phát triển tin tưởng — trong một thời gian ngắn." Hơn nữa, như Yehuda Gelb từ Checkmarx đã tiết lộ trong bài viết "The GitHub Black Market: Gaming the Star Ranking Game", ít nhất hàng chục nhà cung cấp bao gồm SocialPlug.io, Buy.fans, Boost-Like.store, GitHubPromoter.com, Followdeh.com và Vurike.com đang công khai cung cấp dịch vụ bán star, đồng thời hoạt động giao dịch này vẫn diễn ra thường xuyên trên Fiverr và nhiều kênh Telegram.

Cuộc tấn công "bot tiêu cực" nhằm vào các công ty đối thủ

Mặc dù GitHub không có nút "đánh giá tiêu cực" kiểu mạng xã hội, nhưng các cuộc tấn công bằng bot nhằm tạo ra hiệu ứng tương đương đã trở nên rõ ràng. Cụ thể, các thủ đoạn bao gồm: gửi hàng loạt báo cáo "Report spam/abuse" nhắm vào repository của các công ty đối thủ nhằm kích hoạt việc tự động đình chỉ bởi đội ngũ GitHub Trust & Safety, hoặc cố tình gửi hàng loạt Issue vô nghĩa và PR kém chất lượng để chiếm đoạt thời gian của các maintainer.

Vụ "hackerbot-claw" được StepSecurity báo cáo vào tháng 3 năm 2026 cho thấy một giai đoạn mới của vấn đề này. Từ ngày 21 tháng 2 đến ngày 2 tháng 3 năm 2026, một bot được điều khiển bởi AI tự xưng là "autonomous security research agent" (được cho là sử dụng Claude-Opus-4.5 bên trong) đã nhắm mục tiêu vào pipeline CI/CD của ít nhất 7 dự án mã nguồn mở lớn, bao gồm Microsoft, DataDog và CNCF, liên tục luân phiên 5 phương thức tấn công một cách tự động để thực thi mã từ xa. Tại một repository nổi tiếng, bot này đã thành công trong việc đánh cắp token GitHub có quyền ghi, và vụ việc được xem là tiền thân của "các cuộc tấn công AI tự chủ nhằm mục đích loại bỏ đối thủ cạnh tranh hoặc thu lợi tài chính", chứ không chỉ đơn thuần là phá hoại vô nghĩa.

Hơn nữa, vào tháng 4 năm 2026, một chiến dịch mang tên "prt-scan" đã được phát hiện, trong đó kẻ tấn công đã gửi tới 475 PR độc hại nhắm vào các tổ chức nổi tiếng và nhà phát triển cá nhân chỉ trong vòng 26 giờ. Đây là kiểu tấn công gây nhiễu điển hình, khiến các maintainer phía nhận bị choáng ngợp bởi công việc review, trong khi sự chú ý bị phân tán sang các vector tấn công khác. Người đứng đầu bộ phận Trust & Safety của GitHub đã phản hồi bằng cách thông báo sẽ thí điểm áp dụng giới hạn tốc độ PR và quy trình xét duyệt bằng AI trong quý 2 năm 2026.

Ví dụ về tấn công chuỗi cung ứng (phát tán phần mềm độc hại)

Mối nguy hiểm lớn nhất của star giả là phát tán phần mềm độc hại thông qua các repository giả mạo độ tin cậy. Nghiên cứu của CMU cho thấy nhiều repository được gán star giả là các repository phishing chứa malware ngắn hạn, giả dạng "phần mềm lậu", "cheat game" hay "bot tiền mã hóa". Phân tích của Socket cũng chỉ ra rằng trong số các repository bị VirusTotal xác định là malware, 28 repository vẫn còn tồn tại trên GitHub tại thời điểm công bố. Ví dụ điển hình được Socket researchers nêu đích danh là Solmonster/PhantomSniper-Solana-Sniper-Bot — giả dạng "snipe bot" dành cho Solana nhưng thực chất được thiết kế để khởi chạy script từ xa đã bị obfuscate thông qua lệnh spawn() ẩn, từ đó rút tiền từ ví tiền mã hóa của người dùng. Tại thời điểm bị phát hiện, repository này sở hữu 109 star giả và nhiều nạn nhân đã đăng cảnh báo trong các thread Issue.

Một sự cố có quy mô lớn hơn là vụ xâm phạm chuỗi cung ứng tj-actions/changed-files xảy ra vào tháng 3 năm 2025 (CVE-2025-30066). GitHub Action này được sử dụng trong hơn 23.000 repository; kẻ tấn công đã chiếm đoạt PAT của @tj-actions-bot, sau đó ghi đè toàn bộ version tag bằng commit độc hại, làm lộ các thông tin nhạy cảm như AWS access key, GitHub PAT, npm token và RSA private key vào workflow log thông qua memory dump của CI runner. CISA (Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ), Wiz, Unit 42, Semgrep, Cycode và nhiều nhà cung cấp bảo mật hàng đầu đã liên tiếp đưa ra cảnh báo; ảnh hưởng còn lan sang reviewdog/action-setup@v1 (CVE-2025-30154) — cũng bị giả mạo trong cùng thời điểm.

Tiếp theo, vào tháng 11 năm 2025, chiến dịch "Shai-Hulud 2.0" nhắm vào hệ sinh thái npm đã nổ ra. Unit 42, Microsoft Security, Wiz, CheckPoint, Arctic Wolf và Zscaler lần lượt công bố báo cáo chi tiết; quy mô thiệt hại lên tới hơn 25.000 GitHub repository và hàng trăm npm package, bao gồm Zapier, ENS Domains, AsyncAPI, PostHog, Browserbase và Postman. Kẻ tấn công thực thi setup_bun.jsbun_environment.js trong giai đoạn preinstall để đánh cắp npm token, GitHub token, SSH key, cloud credential và CI/CD secret của nạn nhân, sau đó tạo một repository công khai có tên "Shai-Hulud" dưới tài khoản bị xâm phạm và commit thông tin bị rò rỉ vào đó — thể hiện hành vi tự nhân bản.

Trong các cuộc tấn công tinh vi như vậy, star giả đóng vai trò là "cửa ngõ đầu tiên". Bằng cách làm nhiễm độc kênh khám phá công cụ, xác suất xảy ra thiệt hại được khuếch đại đáng kể. Trong chiến dịch PyStoreRAT mà The Hacker News đưa tin vào tháng 12 năm 2025, các repository giả dạng công cụ OSINT và tiện ích GPT đã dùng star giả để tạo vẻ đáng tin cậy, tiếp cận các nhà phát triển thực thông qua Discord và blog kỹ thuật, và ghi nhận hàng chục nghìn lượt tải xuống.

Ngụy trang với mục đích "Tuyển dụng & Xây dựng thương hiệu"

Việc lạm dụng sao giả không chỉ dừng lại ở việc định giá doanh nghiệp mà còn lan sang cả quy trình tuyển dụng cá nhân. Vì các nhà tuyển dụng và quản lý sử dụng hồ sơ GitHub như một "chỉ số thay thế cho năng lực lập trình viên", người tìm việc có động cơ mạnh mẽ để làm giả hồ sơ của mình. Theo báo cáo từ DEV Community, các "nhân vật GitHub làm sẵn" được trang bị lịch sử tài khoản trưởng thành, nhiều người theo dõi và kho lưu trữ có sao đang được giao dịch với giá khoảng 5.000 USD mỗi tài khoản.

Ngược lại, các trường hợp kẻ tấn công mạo danh nhà tuyển dụng cũng ngày càng gia tăng. Trong một vụ việc được ReversingLabs báo cáo, các nhà tuyển dụng giả mạo sử dụng LinkedIn và GitHub đã gửi tin nhắn kiểu "vui lòng chạy bài kiểm tra lập trình của chúng tôi trên terminal tại nhà bạn", và ngay khi gói Python độc hại chứa trong dự án được thực thi, phần mềm độc hại lập tức được triển khai. Chiến dịch VMConnect này được cho là có liên quan đến nhóm tấn công Bắc Triều Tiên Lazarus Group. Một nghiên cứu được nhà nghiên cứu cộng đồng Heiner công bố trên Medium vào năm 2024 đã xác định ít nhất 250 tài khoản tuyển dụng giả mạo "chia sẻ ảnh phụ nữ và tiểu sử tương tự nhau".

Ngoài ra, Palo Alto Networks Unit 42 cũng đã báo cáo các trường hợp kẻ tấn công chuẩn bị sẵn các kho lưu trữ bẫy ngụy trang thành "bản vá" trên GitHub, rồi dụ dỗ các nhà nghiên cứu bảo mật đang điều tra lỗ hổng của công ty họ vào đó để lây nhiễm phần mềm độc hại theo chiều ngược lại. Số lượng sao nhiều đóng vai trò như một đạo cụ để tạo thêm độ tin cậy cho chiếc bẫy này.

Mặt khác, việc lý tưởng hóa thái quá các ứng viên tuyển dụng cũng tiềm ẩn rủi ro. StartupHub.ai chỉ ra một vòng phản hồi tiêu cực rằng "CTO của các công ty càng coi trọng số sao GitHub của ứng viên phỏng vấn, ứng viên càng muốn mua thêm sao cho mình". Lập luận ở đây là chính nền văn hóa coi số sao là yếu tố chính trong đánh giá ứng viên đang góp phần mở rộng nền kinh tế hồ sơ giả mạo.

Các biện pháp mà các nhà quản lý và kỹ sư thông minh đang thực hiện vào năm 2026

Trong một thế giới mà độ tin cậy của số sao đã sụp đổ, các VC hàng đầu và CTO bắt đầu áp dụng sự kết hợp các chỉ số thay thế không dựa vào số sao. Đây không phải là việc tìm kiếm một "chỉ số ma thuật" duy nhất, mà gần giống với cách tiếp cận kiểm tra chéo nhiều góc nhìn độc lập.

Kiểm tra hình dạng biểu đồ Star History (lịch sử sao)

Bước kiểm tra đầu tiên là trực quan hóa phân phối thời điểm các sao được trao. Tăng trưởng tự nhiên vẽ nên một đường cong tổng thể thoai thoải, xen lẫn các đợt tăng nhỏ do tin tức, thuyết trình tại hội nghị, hay các bản phát hành lớn. Ngược lại, sao giả tạo nên một vách đứng thẳng (spike) trong khoảng 24 đến 48 giờ, hoàn toàn không liên quan đến sự gia tăng của Issue, PR hay Discussion. Sự khác biệt này cực kỳ rõ ràng ngay cả với mắt thường, và vào mùa xuân năm 2026, việc kiểm tra qua các công cụ trực quan như star-history.com đã trở thành tiêu chuẩn thực tế. Trong bài viết "Your GitHub Stars Might Be Fake" đăng trên Medium vào tháng 4 năm 2026, Joe Junior Frecce đã nhận xét: "Các nhà đầu tư quan sát đường cong tăng trưởng sao của bạn. Tăng trưởng chậm với phân phối địa lý rộng hiện được tin tưởng hơn nhiều so với spike tập trung trong một tuần."

Ưu tiên các chỉ số sử dụng thực tế (lượt tải NPM/PyPI)

Số sao chỉ phản ánh "số người biết đến kho lưu trữ đó", trong khi lượt tải NPM hay PyPI thể hiện "số lần gói đó thực sự được cài đặt và sử dụng", do đó là chỉ số gần với thực tế sử dụng hơn. Tuy nhiên, như thí nghiệm của lập trình viên Andy Richardson — người đã công bố cách đẩy lượt tải gói tự tạo của mình lên gần 1 triệu lần mỗi tuần chỉ bằng gói miễn phí của AWS Lambda — cho thấy, bản thân lượt tải cũng không thể tin tưởng hoàn toàn khi xét riêng lẻ. Vì vậy, phương pháp tốt nhất năm 2026 là kết hợp xem xét "phân phối địa lý", "phân phối theo múi giờ" và "mô hình chuyển đổi giữa các phiên bản" của lượt tải. Các bảng điều khiển trực quan do Socket, Snyk, libraries.io và npmtrends.com cung cấp giúp việc kiểm tra tổng hợp này trở nên thuận tiện hơn.

"Chất lượng" của Fork

Fork là hành động có độ bám cao hơn sao, nhưng cũng vẫn có thể bị mua. Điều thực sự quan trọng là tỷ lệ "fork hoạt động" — tức là liệu tài khoản đã fork có tích lũy commit độc lập vào code đó và sử dụng nó trong dự án của họ không. Các dự án OSS lành mạnh được cho là có số Fork nằm trong khoảng 15 đến 25% số Star. Tỷ lệ cực thấp 0,052 của Union Labs được giới thiệu trong luận văn CMU, hay 0,017 của FreeDomain (trong đó 81,3% số sao đến từ "tài khoản không có người theo dõi") là những mức mà sự giả mạo có thể đọc được bằng mắt thường.

Số kho lưu trữ phụ thuộc (Used by)

Khi đồ thị phụ thuộc của GitHub được bật, kho lưu trữ được công bố lên hệ sinh thái gói tương ứng (npm, PyPI, Go modules, v.v.) và được hơn 100 kho lưu trữ phụ thuộc, phần "Used by" sẽ xuất hiện ở thanh bên phải của trang kho lưu trữ. Vì đây là chỉ số cho thấy vị trí "thượng nguồn" trong chuỗi cung ứng, nên rất khó để làm giả. Văn hóa kiểm tra danh sách avatar "Used by" này — bao gồm cả chất lượng của các bên phụ thuộc (tài khoản ẩn danh hay tổ chức nổi tiếng) — khi thẩm định ứng viên M&A hay phần mềm đang cân nhắc áp dụng đang dần được định hình trong giới VC Tier 1 và CTO của các tập đoàn công nghệ lớn.

Hướng dẫn của Bessemer về việc ưu tiên "Unique Monthly Contributors"

Bessemer Venture Partners định nghĩa "chỉ số sao Bắc" trong đầu tư mã nguồn mở là Unique Monthly Contributor Activity (số người đóng góp duy nhất hàng tháng). Theo tài liệu Atlas của công ty, người đóng góp được định nghĩa theo nghĩa rộng là "người dùng đã thực hiện bất kỳ hành động nào — tạo Issue, bình luận Issue, PR, commit — trong tháng đó". Đạt ổn định 100 người/tháng được coi là triển vọng, và duy trì trên 250 người/tháng được đánh giá là đẳng cấp hàng đầu. Sự rộng rãi của định nghĩa này khai thác tính chất rằng ngay cả các bot tinh vi cũng có chi phí cực cao để duy trì liên tục việc giả lập Issue, PR và commit trong một khoảng thời gian dài.

Tích hợp các công cụ phát hiện sao giả tự động

Các nhóm kỹ thuật độc lập cũng đã công bố các kỹ thuật phát hiện. dagster-io/fake-star-detector do Dagster phát hành là một pipeline kết hợp Dagster, dbt và BigQuery; nhóm của Fraser Marlow đã xác minh đạt độ chính xác 98% và độ phủ 85%. Ullaakut/astronomer là công cụ CLI ước tính "xác suất người đã sao là người thật" từ lịch sử hành vi của tài khoản. m-ahmed-elbeskeri/Starguard là công cụ kiểm toán OSS được cả nhóm bảo mật lẫn VC áp dụng, cho phép xem xét toàn diện không chỉ sao giả mà cả dấu hiệu chiếm đoạt dependency và các cờ đỏ về giấy phép. mercurialsolo/realstars là tiện ích mở rộng Chrome kết hợp plugin Claude Code ứng dụng nghiên cứu StarScout của CMU, cho phép đánh giá kho lưu trữ trực tiếp trên trình duyệt. Từ năm 2026 trở đi, xu hướng tích hợp các công cụ này vào CI/CD và pipeline phân tích thành phần phần mềm (SCA) đang lan rộng nhanh chóng.

Phản ứng mang tính thể chế của ngành VC

Sequoia Capital và Andreessen Horowitz (a16z) tránh đề cập trực tiếp trong blog chính thức, nhưng được cho là đã bổ sung vào danh sách kiểm tra Due Diligence nội bộ các hạng mục như "phân tích machine learning lịch sử sao", "kiểm tra thủ công phân phối người đóng góp" và "kiểm tra chéo NPM/PyPI với GitHub" (theo các bài đăng trên StartupHub.ai và các thread ẩn danh trên Hacker News). Tiếp theo sự cố backdoor XZ Utils từ năm 2024 (kẻ tấn công dưới tên Jia Tan đã dành hơn 2 năm để chiếm quyền co-maintainer), Linux Foundation đã công bố hướng dẫn "đánh giá rủi ro maintainer dựa trên tiền đề kỹ thuật xã hội hóa", và điều này cũng đang kết nối với xu hướng VC đánh giá không chỉ "khối lượng hoạt động" mà còn cả "sức khỏe các mối quan hệ con người" của các dự án OSS.

Phản ứng của các cơ quan báo chí và triển vọng trong tương lai

Các phương tiện truyền thông công nghệ hàng đầu như Computing (Anh), Slashdot, Bleeping Computer, The Hacker News, TechTarget, DevOps.com, How-To Geek (Mỹ) đã bắt đầu xử lý vấn đề sao giả mạo không còn là "chuyện nội bộ của GitHub" mà là thách thức về "độ tin cậy của chuỗi cung ứng toàn bộ OSS", kể từ sau khi công bố bài nghiên cứu của CMU/Socket. GIGAZINE của Nhật Bản cũng đã công bố bài phân tích "Thực tế đáng sợ của nền kinh tế sao giả trên GitHub" vào ngày 21 tháng 4 năm 2026, giới thiệu chi tiết về sự méo mó của nền kinh tế sao và sự nguy hiểm trong các quyết định đầu tư.

Nhiều nhà đầu tư mạo hiểm ở Thung lũng Silicon đồng thanh nói rằng "chúng tôi không dừng xem số sao, nhưng chỉ dùng sao như một 'điểm khởi đầu'". Quá trình thẩm định thực sự đang chuyển trọng tâm sang việc đọc tổng thể nhiều tầng lớp hoạt động của con người, như lịch sử commit của mã nguồn, chất lượng của Issue, đồ thị phụ thuộc, phân bổ contributor, và "nhiệt độ" của các cuộc trò chuyện trong cộng đồng. GitHub được đưa tin là đang cân nhắc thử nghiệm triển khai tính năng "Sao có trọng số (Weighted Stars)" và tự động shadow ban các tài khoản gian lận từ nửa cuối năm 2025, nhưng cho đến khi phía nền tảng theo kịp, tình trạng đòi hỏi cả nhà đầu tư lẫn nhà phát triển phải có "con mắt thẩm định" sẽ tiếp tục kéo dài.

Như Phó Giáo sư Vasilescu đã chỉ ra, "Không có phần mềm nào ngày nay được viết từ đầu, mà tái sử dụng những thứ hiện có nhiều nhất có thể". Chính vì vậy, nền kinh tế sao giả làm ô nhiễm nền tảng tin cậy của cộng đồng OSS không chỉ được nhìn nhận là một hành vi lừa đảo đơn thuần, mà là vấn đề gặm nhấm chính nền móng của ngành công nghiệp phần mềm.

Phản ứng của các cơ quan báo chí và triển vọng trong tương lai

Các phương tiện truyền thông công nghệ hàng đầu như Computing (Anh), Slashdot (Mỹ), Bleeping Computer, The Hacker News, TechTarget, DevOps.com, How-To Geek đã bắt đầu nhìn nhận vấn đề sao ảo không phải là "chuyện nội bộ của GitHub" mà là bài toán về "độ tin cậy của chuỗi cung ứng OSS toàn cầu" — và điều này diễn ra kể từ sau khi bài báo của CMU/Socket được công bố. Tạp chí GIGAZINE của Nhật cũng đăng bài phân tích vào ngày 21 tháng 4 năm 2026 với tựa đề "Thực trạng đáng sợ của nền kinh tế sao ảo trên GitHub", mô tả chi tiết sự méo mó của thị trường sao và những rủi ro trong quyết định đầu tư.

Nhiều VC tại Silicon Valley đều đồng thuận rằng "chúng tôi không ngừng xem số sao, nhưng chỉ dùng nó như một 'cửa ngõ' ban đầu mà thôi." Trọng tâm của Due Diligence thực sự đang dịch chuyển sang việc đọc tổng thể nhiều lớp hoạt động của con người: lịch sử commit của mã nguồn, chất lượng các Issue, đồ thị phụ thuộc, phân bổ contributor, và "nhiệt độ" của các cuộc trò chuyện trong cộng đồng. GitHub được cho là đang cân nhắc thử nghiệm các tính năng như "Weighted Stars (Sao có trọng số)" và tính năng tự động shadow-ban tài khoản gian lận từ nửa cuối năm 2025 trở đi — nhưng cho đến khi phía nền tảng bắt kịp, cả nhà đầu tư lẫn nhà phát triển đều sẽ phải tiếp tục trau dồi "năng lực nhận định thực chất".

Đúng như Phó Giáo sư Vasilescu đã chỉ ra: "Không có phần mềm nào ngày nay được viết từ đầu hoàn toàn — người ta tái sử dụng những gì đã có nhiều nhất có thể." Chính vì vậy, nền kinh tế sao ảo — thứ đang làm ô nhiễm nền tảng tin cậy của cộng đồng OSS — không chỉ đơn thuần là một hành vi lừa đảo, mà được nhìn nhận là vấn đề gặm nhấm chính nền móng của ngành công nghiệp phần mềm.

Nguồn