GitHub의 가짜 스타 경제의 실체

• GitHub의 Star 매매 생태계가 전용 웹사이트, 프리랜서 플랫폼, 교환 네트워크, 비공개 채널에 걸쳐 형성돼 있으며, 2019년부터 2024년까지 분석에서 약 600만 개의 의심 가짜 스타가 1만8617개 저장소와 약 30만1000개 계정에 분산된 것으로 식별됨
• 2024년 들어 가짜 스타 캠페인이 급증했고 스타 50개 이상 저장소의 16.66% 가 관련된 것으로 집계됐으며, 구매된 스타가 GitHub Trending 등장과 플랫폼 발견 알고리듬 우회에도 실제로 사용됨
• 가짜 스타 판매는 스타당 0.03달러에서 0.90달러 수준으로 계정 품질과 전달 방식에 따라 거래되며, 기여 그래프 조작 도구와 사전 제작 프로필 판매, 교체 보장, 구매 API까지 포함한 인프라로 확대됨
• GitHub 스타 수는 투자 유치 지표와 직접 연결돼 시드와 Series A 구간의 기준치로 활용되고, 적은 비용의 스타 구매가 부풀려진 traction 인식과 자금 조달로 이어지는 자기강화 루프 형성
• 포크 대비 스타 비율과 워처 대비 스타 비율이 조작 탐지 1차 필터로 제시되며, GitHub 정책상 금지와 FTC 규칙 시행에도 계정 단속은 저장소 삭제보다 낮아 구조적 대응은 아직 구현되지 않음

600만 개 가짜 스타

• Carnegie Mellon University, North Carolina State University, Socket 연구진의 StarScout 분석에서 2019년부터 2024년까지 GitHub 메타데이터 20TB, 이벤트 67억 건, 스타 3억2600만 건을 조사한 결과, 약 600만 개의 의심 가짜 스타가 1만8617개 저장소와 약 30만1000개 계정에 분산된 것으로 식별됨
• 2024년에 가짜 스타 캠페인이 급격히 늘어났으며, 7월 기준 스타 50개 이상 저장소의 16.66% 가 관련된 것으로 집계됨
  • 2022년 이전에는 거의 0에 가까운 수준
• 탐지 정확도 검증에서도 StarScout가 표시한 저장소의 90.42%, 계정의 57.07%가 2025년 1월 기준 삭제된 것으로 확인됨
  • GitHub 역시 이를 비정상 활동으로 인식했음을 뒷받침하는 수치
• 가짜 스타 수혜 저장소 가운데 AI와 LLM 관련 저장소가 비악성 범주 최대 규모로 나타났으며, 절대 수 기준 17만7000개의 가짜 스타가 집계됨
  • 학술 논문 저장소나 LLM 관련 스타트업 제품이 많이 포함된다고 인용됨
• 가짜 스타 캠페인이 탐지된 저장소 78개가 GitHub Trending에 등장했으며, 구매된 스타가 플랫폼 발견 알고리듬 우회에 실제로 사용됨
• 2023년 3월 Dagster 조사에서는 엔지니어들이 직접 두 판매자에게 스타를 구매해 현상을 검증함
  • 독일 등록 기업 GitHub24는 스타당 EUR 0.85를 청구했고 100개 스타가 한 달 뒤에도 모두 유지됨
  • Baddhi Shop은 1000개 스타를 64달러에 판매했으나 유지율은 75% 수준으로 제시됨

마켓플레이스

• GitHub 스타 판매 생태계가 전용 웹사이트, 프리랜서 플랫폼, 교환 네트워크, 비공개 채널에 걸쳐 형성돼 있으며, 최소 12개 이상의 활성 웹사이트가 직접 GitHub 스타를 판매 중
  • SocialPlug.io, Buy.fans, Boost-Like.store, GitHubPromoter.com, Followdeh.com, Vurike.com 등이 예시로 열거됨
• 가격대는 계정 품질과 전달 방식에 따라 구분됨
  • 저가형은 스타당 0.03달러에서 0.10달러, 며칠 내 전달, 신규·빈 프로필 사용
  • 중간형은 0.20달러에서 0.50달러, 1주에서 2주 전달, 일부 활동 이력 포함
  • 프리미엄형은 0.80달러에서 0.90달러, 점진적이고 자연스러운 전달을 표방하며 수년 된 계정과 저장소·기여 이력 포함
• Fiverr에서도 24개의 활성 기그가 GitHub 프로모션을 판매 중이며, 기본 스타와 포크는 5달러, "organic promotion"은 25달러 이상으로 책정됨
  • 플랫폼 필터를 피하기 위해 완곡하거나 우회적인 표현 사용
• GithubStarMate.com, SafeStarExchange.com 같은 스타 교환 플랫폼도 운영 중이며, 크레딧 기반 상호 스타 방식 제공
• 인프라가 스타 판매에 그치지 않고 GitHub 기여 그래프 조작까지 확장됨
  • fake-git-history, commit-bot, Commiter 등 최소 7개의 오픈소스 도구가 GitHub 기여 이력 위조 목적에 맞춰 존재
  • 5년 커밋 이력과 Arctic Code Vault Contributor 배지를 가진 사전 제작 GitHub 프로필이 Telegram에서 약 5000달러에 판매됨
• 일부 판매자는 교체 보장까지 제공함
  • Followdeh는 30일 보장을 광고
  • 프리미엄 서비스는 GitHub 탐지를 통과하는 "non-drop" 스타를 약속
  • SocialPlug는 5만3000명 이상 고객에게 310만 개 스타를 전달했다고 주장하며 구매 API도 제공
• Tsinghua University의 ACSAC 2020 연구에서는 중국 QQ·WeChat 프로모션 그룹의 상업 구조가 문서화됨
  • 1020명 이상의 구성원이 하루 약 20개 저장소를 처리
  • 홍보자 이익이 연간 340만 달러에서 440만 달러로 추정됨

자체 분석: 가짜 스타게이저의 특징

• GitHub API 기반 분석 도구를 구축해 20개 저장소를 조사했으며, StarScout 표시 저장소, Runa Capital ROSS Index의 고성장 AI 저장소, 유기적 기준선 저장소를 함께 비교함
• 각 저장소마다 스타게이저 프로필 150개씩 샘플링해 계정 나이, 공개 저장소 수, 팔로워 수, 자기소개 존재 여부를 측정함
• 조작 흔적은 몇 가지 공통 지표에서 반복적으로 드러남
  • 계정이 아주 새롭지 않아도 비어 있는 계정 비율이 높음
  • 포크 대비 스타 비율과 워처 대비 스타 비율이 유기적 저장소보다 크게 낮음

• 유기적 기준선

  • Flask, LangChain, AutoGPT의 중앙 계정 나이는 각각 4801일, 2967일, 4022일로 제시되며, 스타게이저 다수가 오랜 기간 GitHub를 사용한 개발자 집단으로 나타남
  • 공개 저장소가 전혀 없는 비율은 5.3%, 5.9%, 2.0% 수준이며, 팔로워 0명 비율도 10.0%, 11.8%, 5.9%로 낮은 편
  • Flask의 고스트 계정 비율은 1.3%, Flask·LangChain·AutoGPT의 suspicious accounts 비율은 0.0%로 제시됨
  • 포크 대비 스타 비율은 Flask 0.235, LangChain 0.155, AutoGPT 0.090으로, 코드 실제 사용과 변형이 일정 수준 동반됨
  • 워처 대비 스타 비율은 Flask 0.029, LangChain 0.006, AutoGPT 0.005로 나타남
  • 유기적 저장소의 스타게이저는 수년간 활동했고, 자체 프로젝트를 보유하며, 다른 사용자를 팔로우하는 개발자 특성 보유
  • 저장소 0개·팔로워 0명·자기소개 없음의 고스트 계정은 건강한 프로젝트 기준 약 1% 수준으로 제시됨

• 조작된 블록체인 저장소

  • Union Labs, Shardeum, FreeDomain, Anoma의 중앙 계정 나이는 997일에서 1180일 범위로, 단순한 신규 계정 필터는 통과하는 수준
  • 그러나 계정 내부는 비어 있으며, 공개 저장소 0개 비율이 28.0%에서 38.0%, 팔로워 0명 비율이 52.0%에서 81.3%, 고스트 계정 비율이 19.3%에서 28.7%로 높게 나타남
  • 포크 대비 스타 비율은 Union Labs 0.052, Shardeum 0.022, FreeDomain 0.017, Anoma 0.121로 제시됨
  • 워처 대비 스타 비율도 FreeDomain 0.001 등으로 매우 낮음
  • 이런 계정은 오래된 계정을 구매했거나 농장식으로 확보해 스타 캠페인에 투입한 패턴으로 해석됨
  • 포크 대비 스타 비율이 가장 강한 신호로 제시됨
    • Flask는 스타 1000개당 포크 235개
    • Shardeum은 22개
    • FreeDomain은 17개
  • 워처 대비 스타 비율도 같은 방향을 가리키며, FreeDomain의 0.001은 스타 1000명당 실제 업데이트를 지켜보는 사용자가 1명 수준임을 뜻함

• FreeDomain

  • 15만7000개 스타를 보유하지만 워처는 168명, 포크는 2676개로 제시됨
  • 워처 대비 스타 비율이 Flask보다 26배 낮음
  • 샘플링된 스타게이저 가운데 81.3%가 팔로워 0명으로, GitHub 내 가시적 활동 기반이 거의 없는 계정 구성 드러남

• Union Labs

  • 2025년 2분기 Runa Capital ROSS Index 1위로 선정됐으며, 스타 증가율 54.2배와 스타 7만4300개를 기록함
  • 자체 분석에서는 공개 저장소 0개 계정 32.7%, 팔로워 0명 계정 52%, 포크 대비 스타 비율 0.052가 확인됨
  • StarScout 분석에서는 47.4% 의심 가짜 스타로 표시됨
  • VC들이 참고하는 영향력 있는 투자 발굴 보고서 최상단에 거의 절반의 스타가 인위적일 가능성이 있는 프로젝트가 올라간 구조 드러남

• AI 부문

  • RagaAI, openai-fm, Langflow, hermes-agent를 비교한 결과, AI 저장소 내부에서도 지표 편차가 크게 나타남
  • RagaAI-Catalyst는 팔로워 0명 계정 76.2%, 고스트 계정 28.0%로 블록체인 패턴과 거의 동일한 수치 기록
  • openai-fm은 전체 데이터셋에서 가장 극단적인 사례로 제시됨
    • suspicious accounts 66.0%
    • 고스트 계정 36.0%
    • 중앙 계정 나이 116일
    • 스타게이저의 3분의 2가 1년 미만이면서 GitHub 활동이 거의 없음
    • StarScout에서는 이 사례가 OpenAI 자체가 아니라 제3자 봇일 가능성이 높다고 언급함
  • Langflow는 StarScout에서 47.9% 가짜로 표시됐지만, 프로필 샘플 분석에서는 중앙 나이 2859일과 낮은 고스트 비율로 비교적 깨끗한 수치가 나옴
    • StarScout 스캔 이후 계정 품질이 개선됐을 가능성 제기
    • 다만 포크 대비 스타 비율 0.060은 Flask의 약 4분의 1 수준으로 여전히 낮음
  • NousResearch의 hermes-agent는 상대적으로 유기적인 저장소로 분류됨
    • 중앙 계정 나이 8년
    • 고스트 계정 6%
    • 포크 대비 스타 비율 0.133
    • Reddit의 astroturfing 비난과 별개로 스타게이저 다수는 실제 개발자로 분석됨
    • 암호화폐 인접 사용자층 때문에 팔로워 0명 비율이 다소 높지만, 기본 참여 패턴은 정당한 것으로 평가됨

스타가 자금이 되는 경로

• GitHub 스타 수와 스타트업 자금 조달의 연결이 추측이 아니라 투자자 스스로 문서화한 관계로 제시됨
• Redpoint Ventures의 Jordan Segall이 개발자 도구 회사 80곳을 분석한 결과, 시드 투자 시 중앙 스타 수는 2850개, Series A는 4980개로 집계됨
  • 다수 VC가 빠르게 성장하는 GitHub 프로젝트를 찾기 위해 내부 스크래핑 프로그램을 운영하며, 가장 흔히 보는 지표가 스타라고 직접 언급함
• 이 수치는 스타트업에 사실상의 구매 목표를 제공함
  • 저가 스타 기준 85달러에서 285달러면 시드 중앙값 2850개 조작 가능
  • 990달러에서 4500달러면 Series A 구간 접근 가능
  • 일반적 시드 라운드 100만 달러에서 1000만 달러를 기준으로 3500배에서 11만7000배 ROI 범위가 계산됨
• Runa Capital은 분기마다 ROSS Index를 발행해 GitHub 스타 성장률 기준 상위 20개 오픈소스 스타트업을 순위화함
  • TechCrunch 기준 투자 유치 스타트업의 68%가 시드 단계에서 자금을 조달했고, 추적된 라운드 총액은 1억6900만 달러
• GitHub도 GitHub Fund를 통해 M12와 협력하여 매년 1000만 달러를 투자하고, 플랫폼 traction을 일부 기준으로 프리시드·시드 단계 오픈소스 기업 8~10곳에 투자함
• 스타에서 자금 조달로 이어진 사례가 여러 건 열거됨
  • Lovable: 5만 개 이상 스타, 750만 달러 프리시드, 45명 직원 규모에서 18억 달러 기업가치의 2억 달러 Series A

  • Pangolin**: 2025년 1월 스타 1000개, Y Combinator 합격, 2025년 8월까지**470만 달러 시드

  • Browser-use**: 3개월 만에 5만 개 스타, Y Combinator W25,** 1700만 달러 시드

    • LangChain: 시드 단계에서 Benchmark의 1000만 달러 투자
    • Dagster의 Fraser Marlow도 펀드레이징 직전 GitHub 스타에 상당한 시간을 신경 썼다고 직접 언급함
    • Organization Science 논문에서는 GitHub 활동성과 스타트업 자금 조달 결과 사이의 상관관계가 통계적으로 제시됨
    • GitHub에서 활발한 스타트업은 투자 라운드를 유치했을 가능성이 15%포인트 더 높음
    • 결과적으로 VC의 스타 추적 → 스타트업의 조작 → 부풀려진 traction 인식 → 더 많은 VC의 채택 → 더 많은 조작이라는 자기강화 루프 형성
    • Redpoint의 공개 기준치가 스타트업에 정확한 목표 수치를 제공하는 구조 드러남

포크 대비 스타 비율: 단순한 탐지 휴리스틱

• 자체 분석에서 포크 대비 스타 비율이 잠재적 조작 식별에 가장 강한 단순 지표로 나타남
• 논리는 단순함
  • 스타는 비용 없이 누를 수 있고 실질적 헌신을 뜻하지 않음
  • 포크는 코드를 내려받아 사용하거나 수정했다는 의미를 가짐
• 범주별 평균 포크 대비 스타 비율은 다음과 같이 제시됨
  • 유기적 기준선 3개 저장소는 0.160
  • AI 도구 5개 저장소는 0.124
  • 조작 의심 블록체인 군집 4개 저장소는 0.053
  • 극단 사례 2개 저장소는 0.020
• 스타 1만 개 이상이면서 포크 대비 스타 비율 0.05 미만인 저장소는 면밀한 검토가 필요하다는 기준 제시
• 워처 대비 스타 비율은 더 직관적인 보조 신호로 제시됨
  • 유기적 프로젝트는 평균 0.005에서 0.030
  • FreeDomain은 0.001
• 이 비율이 완벽한 판별 기준은 아니며, 교육용 저장소나 큐레이션 목록은 본래 포크 비율이 낮을 수 있음
• 그럼에도 원시 스타 수치만으로는 놓치는 가장 심한 사례를 1차 필터로 잡아내는 데 유효하다는 평가

GitHub 밖의 가짜 인기

• 인기 지표가 신뢰에 영향을 미치는 모든 플랫폼으로 같은 현상이 확대됨
• npm 다운로드 수는 매우 쉽게 부풀릴 수 있음
  • Andy Richardson이 단일 AWS Lambda 함수의 무료 티어만 사용해 is-introspection-query 패키지를 주당 거의 100만 다운로드까지 끌어올렸음
  • urql, mobx 같은 정상 패키지보다 많은 수치였지만 실제 사용자는 0명으로 제시됨
  • CMU 연구에서는 가짜 스타 캠페인이 있는 저장소 중 패키지 레지스트리에 나타난 비율이 1.23%에 불과했지만, 그 738개 패키지 가운데 70.46%가 의존 프로젝트 0개로 나타남
• VS Code Marketplace 확장도 같은 취약성을 보임
  • 연구진이 48시간 안에 가짜 확장 프로그램 설치 1000회 이상을 입증
  • AquaSec은 알려진 악성 의존성을 가진 확장 1283개, 총 설치 수 2억2900만 회를 발견
• X/Twitter 프로모션은 인위적 GitHub 바이럴을 증폭함
  • engagement pod라는 비공개 그룹에서 구성원들이 서로 좋아요, 재게시, 댓글을 교환
  • Growth Terminal은 이를 제품 기능으로 판매
  • NBC News와 Clemson University 연구진은 LLM 생성 콘텐츠로 13만 회 이상 게시한 686개 X 계정 네트워크를 확인
  • 일부 게시물에는 사용한 모델의 흔적인 "Dolphin here!" 같은 표현 포함
• Higgsfield AI 사례에서는 플랫폼 간 astroturfing이 대규모로 문서화됨
  • 60개 이상 서브레딧에 걸친 100개 이상 스팸 게시물
  • 콘텐츠 제작자에게 홍보 대가를 제안하는 템플릿 DM 대량 발송 결합

거의 언급되지 않는 법적 노출

• FTC Consumer Review Rule이 2024년 10월 21일부터 시행되며, 상업 목적의 봇·가짜 계정 기반 "가짜 소셜 미디어 영향력 지표" 매매를 명시적으로 금지함
• 위반 시 제재는 건당 최대 5만3088달러로 제시됨
• FTC는 2025년 12월 10개 기업에 첫 경고장을 발송했으며, 상업 제품 홍보용 GitHub 스타 구매가 이 프레임워크에 들어맞는다고 서술됨
• SEC 선례도 더 직접적인 사례로 제시됨
  • HeadSpin CEO는 지표를 부풀려 투자자에게서 8000만 달러를 끌어낸 혐의로 전신사기와 증권사기 기소
  • ComplYant 창업자는 월 매출 25만 달러라고 주장했지만 실제는 250달러였던 혐의로 기소 직면
• SEC는 스타트업 펀드레이저가 "fake it until you make it" 문화를 투자자 기만에 사용할 수 없다는 메시지 제시
• 스타트업이 자금 조달 과정에서 가짜 GitHub 스타로 traction을 부풀리고, 투자자가 그 지표를 근거로 자본을 투입했다면, 전자통신을 이용한 중요 사실 허위 진술이라는 전신사기 프레임워크가 적용될 수 있다고 연결됨
• 아직 가짜 GitHub 스타만으로 기소된 사례는 없지만, CMU 연구의 대규모 실증과 FTC 규칙의 명시적 금지를 고려하면 시간문제일 수 있다는 관측 제시됨

GitHub의 대응

• GitHub의 Acceptable Use Policies는 비진정성 상호작용, 가짜 계정과 자동화된 비진정성 활동, 자동 스타·팔로우 같은 순위 남용, 비진정성 활동 확산을 위한 2차 시장 참여를 명시적으로 금지함
• 암호화폐 에어드롭, 토큰, 크레딧, 선물 등 보상에 의해 유도된 스타도 정책상 금지 대상에 포함됨
• 집행은 반응형이고 비대칭적으로 평가됨
  • StarScout가 표시한 저장소는 90.42% 삭제됐지만, 해당 스타를 제공한 계정은 57.07%만 삭제
  • 미래 캠페인에 쓸 수 있는 계정 인프라 상당 부분이 남아 있음
• Dagster 조사에서도 가짜 스타 프로필이 48시간 안에 삭제됐지만, 공개적 망신 이후 대응한 것으로 제시되며 사전 탐지 사례는 아님
• GitHub는 스타 조작 탐지 방식이나 집행 통계를 다룬 엔지니어링 블로그 글을 공개한 적이 없고, 별도의 투명성 보고서도 없음
• GitHub 보안 운영 부사장은 Wired에 정책에 따라 계정을 비활성화했다고만 답했고 추가 설명은 거부함
  • 다만 이 발언은 vanity metric 조작이 아니라 Stargazers Ghost Network 악성코드 작전에 대한 코멘트로 명시됨
• CMU 연구진은 원시 스타 수 대신 네트워크 중심성 기반 가중 인기 지표 도입을 권고함
  • 가짜 스타 경제를 구조적으로 약화시킬 수 있는 변경으로 제시됨
• GitHub는 이 권고를 아직 구현하지 않음

VC가 대신 봐야 할 지표

• Bessemer Venture Partners는 스타를 vanity metrics로 부르며, 대신 월간 고유 기여자 활동을 추적함
  • 이슈 생성, 댓글, PR, 커밋 수행자를 모두 포함
  • 상위 1만 개 프로젝트 중 250명 이상의 월간 기여자를 넘긴 경우는 5% 미만
  • 6개월 연속 유지한 경우는 2%에 불과
• StateShift의 Jono Bacon은 실제 채택과 상관성이 있는 5가지 지표를 권고함
  • 패키지 다운로드 수
  • 실제 사용자의 프로덕션 엣지 케이스가 드러나는 이슈 품질
  • 두 번째 PR까지 걸리는 시간으로 측정하는 기여자 유지
  • 커뮤니티 토론 깊이
  • 사용량 텔레메트리
• 자체 분석에서 드러난 포크 대비 스타 비율은 가장 단순한 1차 필터로 제시됨
  • 건강한 프로젝트는 스타 1000개당 대략 포크 100개에서 200개
  • 스타 절대치가 높은데 스타 1000개당 포크 50개 미만이면 추가 점검 필요
• 인용문으로는 "스타 수는 속일 수 있어도, 누군가의 주말을 구한 버그 수정은 속일 수 없다"는 문장이 제시됨

구조적 문제

• 가짜 스타 경제가 자기강화되는 이유로 세 가지 동학이 제시됨

• 인센티브 루프

  • VC가 스타를 소싱 신호로 사용
  • 스타트업이 스타를 조작
  • VC가 부풀려진 traction을 확인
  • 더 많은 VC가 스타 추적을 도입
  • 더 많은 스타트업이 조작에 뛰어드는 순환 구조 형성
  • Redpoint의 공개 벤치마크 시드 2850개, Series A 4980개가 사실상 구매 수량표 역할 수행

• AI 부문의 취약성

  • 과도한 과열, 제품 품질보다 토큰 가격을 보상하는 암호화폐 인접 자금 구조, 조작된 페르소나가 섞인 X/Twitter 리뷰어 생태계가 결합해 제조된 신뢰에 유리한 환경 형성
  • 자체 분석에서도 조작 신호가 가장 나쁜 저장소 다수가 블록체인 및 암호화폐 인접 AI 프로젝트로 확인됨

• GitHub 집행의 비대칭성

  • 저장소를 제거하면서도 가짜 계정의 57%를 남겨두는 구조가 가짜 스타 경제의 노동력을 보존
  • 반복 위반 억지력이 약함
  • GitHub가 가중 인기 지표, 계정 수준 평판 점수, 투명한 집행 보고 같은 구조적 변화를 도입하지 않는 한, 스타 수와 실제 개발자 채택 사이의 격차가 계속 확대될 것으로 정리됨
  • 가짜 스타 경제는 50달러짜리 문제가 5000만 달러짜리 결과를 낳는 구조로 요약됨
  • 플랫폼, 투자자, 규제기관이 따라잡기 전까지 시장은 계속 그 50달러를 지불하게 된다는 문장으로 마무리됨