Você já escolheu uma biblioteca no GitHub baseado no número de estrelas? Eu também. E aparentemente, 6 milhões dessas estrelas são compradas — de bots, de fazendas de contas, de marketplaces que vendem popularidade a $0,03 o clique.

Um estudo publicado na ICSE 2026, a conferência mais importante de engenharia de software do mundo, revelou uma economia paralela que funciona debaixo do nariz de todo desenvolvedor: 18.617 repositórios manipulados, 301 mil contas envolvidas, e um mercado que movimenta milhões de dólares por ano. O pior? VCs usam essas estrelas pra decidir quem recebe investimento.

Vamos aos fatos.

O Estudo StarScout: 20 Terabytes de Metadados

Pesquisadores da Carnegie Mellon University, NC State e da empresa Socket analisaram 6,7 bilhões de eventos e 326 milhões de estrelas do GitHub entre julho de 2019 e dezembro de 2024. O resultado foi o StarScout — uma ferramenta que detecta campanhas de estrelas falsas com base em dois padrões:

• Assinatura de baixa atividade: contas que dão estrela em um único repositório e depois somem
• Assinatura de lockstep: clusters de 50+ contas que dão estrela nos mesmos 10+ repositórios dentro de uma janela de 30 dias

A precisão? 90,42% dos repositórios que a ferramenta flaggeou foram depois deletados pelo próprio GitHub. E 57,07% das contas envolvidas também caíram.

Mas aqui tá o problema: se o GitHub deleta 90% dos repos flaggeados, isso significa que eles já sabiam que eram fraudulentos. A pergunta é: por que esperaram um estudo acadêmico pra agir?

A Tabela de Preços: De $0,03 a $5.000

O mercado de estrelas falsas é mais organizado do que você imagina. Existe uma hierarquia clara de serviços:

No Fiverr, pacotes variam de $5 a $25+. No Telegram, redes chinesas com mais de 1.020 membros processam ~20 repositórios por dia, segundo um estudo anterior da Universidade Tsinghua.

E tem mais: ferramentas como fake-git-history, commit-bot e Commiter estão publicamente disponíveis no próprio GitHub pra fabricar gráficos de contribuição. A ironia é quase poética. (E se você ainda não sabia, o GitHub também tá usando seu código pra treinar IA.)

O Que Esses Repos Escondem

Aqui a coisa fica sinistra. Dos repositórios flaggeados pelo StarScout:

• 90,42% foram deletados pelo GitHub (ou pelos próprios criadores)
• Dos nomes dos repos deletados, as palavras mais comuns eram: “free” (856 ocorrências), “crack” (721), “bot” (1.071), “wallet” (241), “hack” (357) e “roblox” (252)

Traduzindo: a maioria dos repositórios com estrelas compradas distribuía malware disfarçado de software pirata, cheats de jogos ou bots de criptomoeda.

Dos 9,58% que continuaram online, o perfil era:

• 22,6% spam/phishing
• 16,6% projetos de IA/LLM (sim, o setor de IA é o maior comprador legítimo de estrelas falsas)
• 13,1% blockchain
• 12,6% ferramentas/aplicações
• 12,1% tutoriais/demos

Ou seja, quando você vê um repo de “IA revolucionária” com 10 mil estrelas que apareceu do nada… vale a desconfiança.

Como Detectar Estrelas Falsas (Na Prática)

Os pesquisadores compararam projetos orgânicos legítimos (Flask, LangChain, AutoGPT) com projetos manipulados e encontraram padrões claros:

Quer um checklist rápido antes de confiar num projeto popular?

1. Fork/Star ratio abaixo de 0,05 com 10k+ estrelas → alerta vermelho
2. Watcher/Star ratio próximo de zero → ninguém realmente acompanha o projeto
3. Maioria das estrelas em poucos dias → campanha coordenada
4. Perfis dos stargazers sem repos e sem seguidores → contas compradas

Vou dar exemplos reais que o estudo documentou.

Casos Reais: FreeDomain, Union Labs e openai-fm

FreeDomain: 157 mil estrelas, 81% falsas

O projeto FreeDomain acumulou 157 mil estrelas. Parece impressionante, até você olhar os números:

• 81,3% das contas que deram estrela tinham zero seguidores
• Watcher/Star ratio de 0,001 (num projeto legítimo com esse tamanho, seria pelo menos 0,01)
• 28% eram contas fantasma completas

Union Labs: 74 mil estrelas, quase metade suspeita

• 32,7% das contas não tinham nenhum repositório
• 52% tinham zero seguidores
• 47,4% foram classificadas como suspeitas pelo StarScout

openai-fm: 66% de contas suspeitas

Até projetos com nomes que surfam na onda da OpenAI não escapam:

• 66% das contas eram suspeitas
• 36% eram fantasmas
• Idade mediana das contas: apenas 116 dias

Quando uma conta tem menos de 4 meses de vida e a única coisa que ela fez foi dar estrela no seu repo favorito de “IA”… é bot.

O Pipeline de Investimento: Estrelas Viram Dinheiro

Agora vem a parte que realmente assusta. Venture Capital usa estrelas do GitHub como proxy de tração.

Uma análise da Redpoint Ventures revelou os benchmarks:

• Mediana de estrelas para seed: 2.850
• Mediana de estrelas para Series A: 4.980

O GitHub Fund investe $10 milhões por ano em 8-10 empresas, e um dos critérios é justamente a tração na plataforma. O ROSS Index da Runa Capital rastreou $169 milhões em rodadas de investimento ligadas a métricas do GitHub.

Casos de sucesso que passaram por esse funil:

• Lovable: 50.000+ estrelas → $7,5M pre-seed, depois $200M Series A
• Browser-use: 50.000 estrelas em 3 meses → Y Combinator W25, $17M seed
• LangChain: usado por toda a indústria → $10M seed da Benchmark

A pergunta óbvia é: quantos desses projetos tinham estrelas orgânicas? O estudo não acusa nenhum deles especificamente. Mas quando VCs usam uma métrica que custa $150 pra inflar em 5.000 pontos… o incentivo pra fraudar é enorme.

Um estudo publicado na Organization Science em 2025 confirmou: startups ativas no GitHub têm 15 pontos percentuais a mais de chance de conseguir funding. Isso coloca estrelas do GitHub na mesma categoria que métricas de vanity do Instagram — só que com consequências de milhões de dólares.

A FTC Já Tá de Olho

Em outubro de 2024, a FTC (Federal Trade Commission) publicou a Consumer Review Rule, que proíbe explicitamente a compra e venda de indicadores de influência em redes sociais para fins comerciais. A penalidade? Até $53.088 por violação.

Em dezembro de 2025, a FTC enviou as primeiras cartas de advertência a 10 empresas. Ainda não houve multas aplicadas especificamente para GitHub stars, mas o precedente legal já existe.

E tem um caso mais pesado: o CEO da HeadSpin foi acusado de wire fraud (fraude eletrônica) com pena máxima de 20 anos por inflacionar métricas — incluindo métricas técnicas — durante rodadas de investimento. Se você compra 10 mil estrelas antes de uma reunião com investidores, isso pode configurar fraude nos EUA.

O GitHub Sabe — Mas Não Faz o Suficiente

O estudo revelou que o GitHub foi relativamente eficiente em deletar repos flaggeados (90,42%), mas muito menos proativo com contas (apenas 57,07% removidas). E os pesquisadores apontam problemas maiores:

• Nenhuma documentação pública sobre métodos de detecção
• Nenhum relatório de transparência sobre enforcement
• A recomendação da CMU de implementar estrelas com peso baseado em reputação não foi adotada
• As Acceptable Use Policies proíbem interações inautênticas, mas a aplicação é reativa

O GitHub trata o problema como se fosse uma partida de whack-a-mole: bate nos que aparecem, mas não muda o sistema que torna o jogo possível.

Cross-Platform: O Problema Vai Além do GitHub

Se você acha que isso é exclusivo do GitHub, o estudo traz dados de outras plataformas:

• npm: desenvolvedores criaram pacotes com 1 milhão de downloads falsos por semana (e quando não são falsos, são comprometidos como aconteceu com o Axios)
• VS Code Marketplace: pesquisadores demonstraram 1.000+ instalações falsas de uma extensão em 48 horas
• X/Twitter: redes de 686 contas coordenadas geraram 130.000+ posts feitos por LLM

A inflação de métricas é um problema sistêmico. Todo ecossistema que usa números públicos como proxy de qualidade é vulnerável.

Como Se Proteger: Métricas Alternativas

Se estrelas não são confiáveis, o que usar? Algumas sugestões da Bessemer Venture Partners e de outros analistas:

Para devs avaliando bibliotecas:

• Contributors ativos mensais: menos de 5% dos projetos open source passam de 250 contributors mensais — se passa, é real
• Qualidade das issues: issues detalhadas e discussões técnicas ativas indicam comunidade real
• Retenção de contributors: quantos voltam depois do primeiro commit?
• Downloads de pacotes: cruzar com estrelas. Um projeto com 50k estrelas e 200 downloads por semana é suspeito
• Velocidade de merge: PRs sendo revisados e mergeados regularmente indica manutenção ativa

Para investidores:

• Fork/star ratio: abaixo de 0,05 com muitas estrelas → investigar
• Telemetria de uso: dados reais de adoção valem mais que estrelas
• Profundidade de discussões: Discussions, issues e PRs contam uma história que não dá pra comprar
• Dependentes no ecossistema: quantos outros projetos dependem desse? O npm e o PyPI mostram isso

Uma Indústria de $3,4 Milhões por Ano

Os pesquisadores estimam que redes de promoção chinesas — apenas as documentadas — geram entre $3,4 e $4,4 milhões em lucro por ano vendendo estrelas. As plataformas globais (SocialPlug.io, Buy.fans, Boost-Like.store, GitHubPromoter.com e pelo menos mais uma dúzia) provavelmente multiplicam esse número.

Com 24 gigs ativos no Fiverr a qualquer momento, canais no Telegram vendendo perfis envelhecidos por $5.000, e ferramentas de fabricação de histórico livremente disponíveis… esse mercado não mostra sinais de desaceleração.

83% dos Repos Fraudulentos Duram Menos de 10 Dias

Outro dado que me chamou atenção: 83,90% dos repositórios com campanhas de estrelas falsas ficaram ativos por menos de 10 dias. O ciclo é rápido — cria o repo, compra estrelas, aparece no trending, distribui malware, deleta tudo antes que alguém investigue.

Das contas envolvidas, 95,56% tinham atividade quase exclusiva de dar estrelas. Não commitavam código, não abriam issues, não faziam fork. Eram contas zumbis criadas com um único propósito.

Mas 14,76% das contas mostravam padrões mais realistas — com pushes de código e criação de repositórios. São essas as mais difíceis de detectar e as que o GitHub menos removeu. A sofisticação tá aumentando: perfis com fotos geradas por IA, bios em inglês perfeito, gráficos de contribuição fabricados e até READMEs elaborados.

A IA Turbinou o Problema

O setor de IA aparece como o maior comprador não-malicioso de estrelas falsas, com 177.000 estrelas compradas detectadas. Faz sentido: em 2024 e 2025, qualquer projeto com “AI” ou “LLM” no nome que atingisse o GitHub Trending recebia atenção instantânea de VCs.

E 78 repositórios com campanhas detectadas de fato apareceram no GitHub Trending — provando que estrelas compradas realmente gamificam o algoritmo de descoberta da plataforma.

Pra quem trabalha com IA, isso significa que aquele “framework novo que todo mundo tá usando” pode não ser tão usado assim. A due diligence técnica nunca foi tão importante.

Eficácia Real das Estrelas Falsas

Uma descoberta fascinante do estudo: estrelas falsas funcionam no curto prazo, mas prejudicam no longo.

• 1% de aumento em estrelas falsas correlaciona com 0,07% de aumento em estrelas reais no primeiro mês
• No segundo mês, cai pra 0,03%
• No longo prazo, estrelas falsas históricas mostram correlação negativa (-0,04%) com ganho futuro de estrelas reais

Estrelas legítimas, por outro lado, têm impacto 5x maior na aquisição de novas estrelas. O efeito “rich get richer” só funciona de verdade com popularidade orgânica.

Comprar estrelas é como comprar seguidores no Instagram: funciona por uma semana, depois te afunda. A diferença é que no GitHub, isso pode configurar fraude federal.

O Que Muda Agora?

O paper da ICSE 2026 coloca uma pressão real sobre o GitHub pra mudar. As recomendações dos pesquisadores incluem:

1. Estrelas com peso por reputação — contas novas ou inativas teriam menos peso no ranking
2. Shadowban de contas suspeitas — remover o impacto sem alertar o fraudador
3. Integrar detecção de estrelas falsas na detecção de malware — já que a maioria dos repos com estrelas compradas distribui código malicioso
4. Relatórios de transparência — publicar dados regulares sobre enforcement

Enquanto essas mudanças não chegam, cada dev que usa npm install pacote-com-muitas-estrelas precisa fazer a própria due diligence. Checar forks, contributors, issues, downloads reais. Leva 5 minutos. Pode salvar sua aplicação de um supply chain attack que entrou pela porta da frente — como aconteceu com o LiteLLM e seus 97 milhões de downloads — com 10 mil estrelas de boas-vindas.

Fonte de inspiração: Six Million (Suspected) Fake Stars on GitHub — ICSE 2026, Carnegie Mellon University, NC State & Socket