oosmetrics.com — когда публикация на строннем сайте может навредить вашему проекту

С момента моей первой публикации о QuickSwitch — моем проекте для улучшения файловых диалогов прошло уже достаточно времени. За это время проект обрел своих пользователей даже без моих постов на Habr, как я планировал прежде. Благодаря его плавному росту о нем узнала некая организация oosmetrics, которая прислала мне занимательное письмо:

В письме мне предлагают изучить показатели проекта на их сайте, а также разместить на главной странице проекта на GitHub бейдж со ссылкой на oosmetrics.com.

Что такое бейдж

GitHub badge (бейдж) — векторное изображение с текстом и/или изображением (опционально). Он может менять свой текст время от времени с помощью web-запросов, которые отправляются при загрузке страницы, на которой размещен бейдж. Это полезно для создания красивого счетчика в readme.md на странице проекта.

Однако сам по себе бейдж является векторной картинкой, к которой можно привязать ссылку. При нажатии на картинку пользователь будет переходить по заданной ссылке, например на тему проекта на форуме.

Примеры использования и виды бейджей можно найти здесь.

Статические бейджи на скриншоте я создавал с помощью редактора векторной графики. Примеры можно увидеть в папке ./Images/Badges.

Для создания динамических бейджей я использовал shields.io, который используют GitHub API для обновления содержимого бейджей. В readme.md они встраиваются в виде html кода:

<a href="https://github.com/JoyHak/QuickSwitch/releases/latest">  <img     src="https://img.shields.io/github/v/release/JoyHak/QuickSwitch?display_name=tag&style=flat"     alt="Release"></a><a href="https://github.com/JoyHak/QuickSwitch/releases/latest">  <img     src="https://img.shields.io/github/downloads/Joyhak/QuickSwitch/total?style=flat&color=fb9233"     alt="Downloads"></a>

Вместо этого я решил разместить эту ссылку здесь, чтобы любознательный читатель сам перешел на сайт, и ощутил некоторое подозрение глядя на главную страницу сайта, явно сделанную нерукотворным трудом.

Как и любой разработчик открытого проекта, я рад любой возможности привлечь новых разработчиков к своему проекту, и к замечательному языку AutoHotkey, который намного мощнее чем «просто язык для макросов». Однако открыв сайт организации, я увидел много странных деталей, о которых и пойдет речь в данной статье.

Информация об организации

Домен oosmetrics.com на момент написания статьи (27 апреля 2026 года) имеет IP адрес 216.198.79.1, поэтому мы будем работать с ним.

Проверив домен через два сервиса на 2ip.ru/whois я увидел примерно одинаковую информацию (неудивительно): домен зарегистрирован 52 дня назад (2026-03-05T20:22:42Z).

Domain Name: OOSMETRICS.COMRegistry Domain ID: 3073968087_DOMAIN_COM-VRSNCreation Date: 2026-03-05T20:22:42ZRegistry Expiry Date: 2027-03-05T20:22:42ZUpdated Date: 2026-03-06T00:39:26ZDomain Status: activeName Server: CANDY.NS.CLOUDFLARE.COMName Server: LEONARD.NS.CLOUDFLARE.COMRegistrar: Hetzner Online GmbH

Эту информацию также подтверждают и другие сервисы WHOIS.

Domain:oosmetrics.comRegistered On:2026-03-05Expires On:2027-03-05Updated On:2026-03-05Status:activeName Servers:candy.ns.cloudflare.comleonard.ns.cloudflare.com

Name: OOSMETRICS.COMRegistry Domain ID: 3073968087_DOMAIN_COM-VRSNDomain Status:activeNameservers:CANDY.NS.CLOUDFLARE.COMLEONARD.NS.CLOUDFLARE.COMDatesRegistry Expiration: 2027-03-05 17:22:42 UTCRegistrar Expiration: 2027-03-05 17:22:42 UTCUpdated: 2026-03-05 21:39:26 UTCCreated: 2026-03-05 17:22:42 UTC

DomaininformationenNameOOSMETRICS.COMDomain-ID des Registers3073968087_DOMAIN_COM-VRSNRegistriert am2026-03-05T17:22:42ZLäuft ab am2027-03-05T17:22:42ZAktualisiert am2026-03-05T21:39:26ZDomainstatusactiveNameserverCANDY.NS.CLOUDFLARE.COMLEONARD.NS.CLOUDFLARE.COM

Провайдер Hetzner также официально упоминается в политике конфиденциальности oosmetrics, которую мы разберем позже, так что у нас есть подтверждение того, что домен создан в начале марта 2026 года.

Открываем вновь письмо, и видим, что оно пришло 25 апреля 2026 года.

Столь молодой домен говорит о том, что это малоизвестная организация без какой-либо репутации. На это также указывают посты в LinkedIn от некоего Alessandro Flati, а также посты самой организации, опубликованные только в апреле; один репозиторий на GitHub с 3-мя коммитами от того же Alessandro Flati от 23 апреля; полное отсуствие в архивах WayBackMachine; мой любимый поисковик lilo показал очень мало результатов по запросу «oosmetrics», впрочем, как и другие поисковики включая Qwant, PreSearch и Google.

Временной интервал «март — апрель» практически соотвествует интервалу от регистрации домена до получения письма. К главному лицу этой организации мы вернемся позже, когда разберемся, чем она занимается.

Сбор информации о проектах

В самом низу сайта описана цель данной организации:

GitHub repository metrics that matter — growth rate, acceleration, and innovation score.

Организация собирает информацию о проектах (приложениях) с открытых исходным кодом (примущественно с GitHub) и формирует для них показатели (метрики) посещаемости и оригинальности.

В полученном письме было написано:

QuickSwitch just hit rank 10 in the Filesystems category (попал в топ-10 рейтинга)

Однако такой категории, да и рейтинга, на главной странице нет.

Открытые проекты попадают в oosmetrics только если у них достаточное количество звезд. Какой входной минимум — не ясно, ведь сортировка по звездам при поиске и на главной странице не работает! Даже по убыванию.

Как найти этот «rank 10 in the Filesystems» — не понятно. Иронично, что сортировка по оригинальности проектов зачастую не работает из-за метки «Too niche to rank» (узконаправленный проект).

Посмотреть все проекты по запросу «AutoHotkey» я не могу, ведь перелистывание страниц тоже не работает. Сколько бы страниц я не переключал, в списке оставались одни и те же проекты.

При этом в письме было написано:

Developers looking for active filesystem projects will see you in the top ten.

Однако найти мой проект по запросу «QuickSwitch» невозможно из-за кривого поиска и неработающего переключения страниц. По сути никто о нем и не узнает через oosmetrics. И что-то мне подсказывает, что никто из живых душ даже не попытался проверить работу поиска перед отправкой письма. А при попытке найди другие проекты, например, build-your-own-x из топа GitHub на данный момент, первыми в списке появляются форки.

Что примечательно, их собственный проект в списке не значится. Видимо, тренеры не играют?

Закрытый исходный код

Иронично, что проект, собирающий информацию об открытых проектах, сам является закрытым: алгоритмы сбора данных, оценки проектов и присвоения показателей недоступны.

Это отлично видно на примере двух схожих проектов: моего проекта QuickSwitch и его конкурента — QuickJump, основная задача которых — переключать путь в файловом диалоге. То есть идея проектов не оригинальна. Однако взглянем на эти проекты с точки зрения oosmetrics:

Оригинальность QuickSwitch отмечена как «очень низкая», при этом в качестве основания для оценки указано «основано на количестве звезд, полученных по отношению к числу схожих репозиториев» (что?). Это звучит как текст, который выдает ИИ на первой итерации без каких-либо исправлений.

При этом оригинальность QuickJump невозможно оценить, хотя исходный код проекта написан на высокоуровневом языке.

Очевидно что в обоих случая показатель «оригинальности» должен быть примерно одинаковым ввиду использования одинакового языка исходного кода и одинаковых показателей роста.

В таком случае возникает вопрос: а насколько объективны эти показатели?

Сбор данных

Очевидно, что руками нынче никто такое количество проектов собирать и проверять не будет (за исключением, пожалуй, модераторов агрегатора alternativeto.net). Тут видна явная работа разных ботов и какой-то ИИ модели, которая на лету формирует описание проекта.

Примечательно, что для проектов с несколькими тысячами звезд описание уже сформировано и сохранено, поскольку оно открывается моментально при открытии страницы на oosmetrics.

Автор проекта, о котором я упоминал ранее, открыто говорит о своих знаниях в сфере машинного обучения и работе с ИИ:

Среди отмеченных им репозиториев и его собственных репозиториев значатся проекты для работы с AI/ML, Web, DevTools, Security, и Cloud. Посты на LinkedId явно дают знать, что он знаком и с ИИ трендами вроде оркестрации (организации) работы нескольких агентов. Его профиль на GitHub существует как минимум 11 лет (смотри скриншот выше), однако активные действия он почему-то начал совершать только в 2025 году.

Такая слабая активность за 11 лет заставляет усомниться в том, что он «Senior Software Engineer», однако ясно одно: за проектом oosmetrics стоит человек, который активно использует ИИ. Впрочем, о том, что сайт был создан с помощью ИИ, свидетельствовали нерабочией кнопки сортировки и переключения страниц.

Иронично (мое любимое слово в отношении этого проекта), но у сайта, который использует роботов для scrapping-a информации есть вот такой файл: oosmetrics.com/robots.txt
В нем стоит запрет для анализ и сбор информации о сайте oosmetrics. Занавес.

Вопросы без ответа

Меня заинтересовало, когда и по какому приницпу начали искать информацию о проектах. Предоположим, автор просто запустил ботов после создания сайта и собирал все возможные проекты, у которых 50+ звезд (минимальное число, что я увидел).

Открываем граф нарастания звезд моего проекта и видим следующую картину:

Примерно такую же картину рисует другой граф:

На момент регистрации домена у моего проекта уже было 100 звезд. Однако рассылка прилетела лишь спустя месяц. Если бы домен был зарегистрирован раньше марта 2026 года, вероятно, мой проект заметили еще в марте. Это косвенно подтверждает тот факт, что домен был зарегистрирован недавно.

Предположим, что данные начали собирать данные очень давно (все-таки уже собрано 300 000 проектов), и мой проект попал к ним только 25 апреля. Тогда возникает первый вопрос: почему под всеми проектами указана практически одинаковая дата последней проверки (22 или 24 апреля)?

Второй вопрос. Почему у некоторых больших проектов есть история звезд, а у некоторых ее нет? Я с трудом нашел только два проекта с дополнительными графами роста аудитории и звезд: PostHog и Git.

Третий вопрос. Почему на графах отображается динамика только за апрель?

Причем ось с датами берет свое начало 4 апреля, а не 1 апреля — начало месяца, что выглядит крайне нетипично для статистики за 30 дней, о которой написано прямым текстом над графом. Например если открыть GitHub insights для моего проекта, на вкладке Community можно выбрать статистику за последние 30 дней или за последние 3 месяца. Явно указывается период и понятен момент начала отсчета:

В этом случае отсчет идет в обратную сторону начиная от текущего числа, и график будет показывать статистику в период с 27 марта по 27 апреля. Однако граф с oosmetrics дает понять наблюдателю, что это статистика за какие-то 30 дней, а не за последние 30 дней. Почему первым число считается 4 апреля — никто не знает.

При этом на вкладке Traffic есть очень подозрительный скачок клонирований:

И хотя GitHub уверяет, что в этот период пришло много пользователей благодаря Google поиску, этот скачок произошел за два дня до письма, в котором есть знакомая нам фраза:

Developers looking for active filesystem projects will see you in the top ten…

А ведь именно «Developers» (разработчики) и пользуются обычно git clone, ведь для рядовых пользователей, которые нашли проект случайно через Google, на странице моего проекта есть кнопки (бейджи) для скачивания релиза в один клик. То есть, в конце апреля 39 пользователей не поленились открыть терминал, напечатать git clone и разобраться в том, как запустить проект? А не пытался ли кто-то нагнать искусственный трафик, случаем?

Обычно проект скачивают именно со страницы релизов. Это можно проверить, посмотрев на изменение числа скачиваний на бейдже скачиваний. У меня есть его скриншоты на момент его добавления и на сегодняшний момент времени.

За это время прибавилось 500 скачиваний. Поскольку GitHub не предоставляет число клонирований, рискну предположить, что большинство пользователей все-таки скачивают релизы, о чем свидетельствует распределение числа загрузок по релизам:

В таком случае внезапный скачок клонирований можно объяснить попыткой oosmetrics нагнать искусственный трафик, чтобы показать, что сайт «может помочь проекту привлечь новых пользователей». Подтвердить эту мысль невозможно из-за отсуствия полноценной статистики скачиваний по дням и числа клонирований хотя-бы со времени последнего релиза.

Скрытые мотивы

Все найденные детали и поставленные вопросы заставляют задуматься: а какие цели преследует автор oosmetrics?

Начнем пожалуй с политики конфиденциальности:

Я еще не видел, чтобы юридический документ оформляли в виде «bullet-points» списка, да еще и с жирными названиями элементов. При этом тут есть пункт «Billing», который явно говорит о сборе данных для оплаты. Выясняется, что есть платный доступ к неким услугам:

При этом полностью отсуствует документация о том, как работает MCP сервер и какое API доступно. Как мы видели ранее, файл robots явно пытается скрыть доступ к разделу /api/

Единственный способ что-то узнать — начать пробный период, однако он доступен только после ввода бакнковских реквизитов через Stripe:

Даже есть большая надпись «14 ДНЕЙ БЕСПЛАТНО». Однако, почему-то при попытке зарегистрироваться и снять это демо, у меня сначала не открывалась почта, а затем перестал открываться ShareX…

При этом нет никаких инструкций (и гарантий) как эту подписку потом отменить. Впрочем, сайт не очень богат на документацию. Зато политика конфиденциальности пестрит терминами: DDoS protection, GDPR-compliant by design, etc.

Как они защищают данные от DDoS атак не ясно, впрочем, не ясно про какие данные вообще идет речь.

А как можно привлечь много пользователей к сайту? Например, попасть в выдачу результатов поисковиков вроде Google.

В полученном мною письме есть строчка, щекочущая эго читателя:

Your project … just hit rank 10…

Автор письма надеялся, что начинающий маленький разработчик будет воодушевлен, что на него обратила внимание целая организация. В результате он поделится ссылкой или даже добавит ее на страницу проекта. Это делается не в интересах читателя — это тактика, направленная на получение бесплатного SEO (поисковой оптимизации) и уникальных переходов для недавно созданного домена.

А если ссылка попадет на страницу проекта, то появится еще больше уникальных переходов со страницы проекта на страницу oosmetrics. А чем больше проектов добавят эту ссылку, тем больше переходов будет на сайт, и тем больше будет вероятность, что кто-то купит подписку или случайно оставит свои банковские данные благодаря автозаполнению данных от Chrome.

Послесловие

Перед нами не совсем мошеннический, но вполне типичный сайт по вытягиванию денег из пользователя. Тогда зачем же я опубликовал такую большую статью про него, если еще на ранних скриншотах видна кнопка «Pricing»?

А дело в том, дорогой читатель, что не каждый обратит внимание на кнопку «Pricing» после перехода на сайт из «письма счастья». Воодушевленный разработчик под эффектом дофамина сначала посмотрит на красивые показатели своего любимого питомца (проекта), порадуется большим циферкам и оценкам A+, а потом задумается о том, как бы ему привлечь новую аудиторию на свой проект с помощью oosmetrics. И уже «готовенький» разработчик сам нажмет на кнопку «Pricing», которая так удобно размещена на самом виду.

И эта подробная статья написана по той причине, что очень многие пользователи в наше время сталкиваются с разными сомнительными сайтами, но далеко не все обращают внимание на явные признаки мошеннического сайта: поспешный дизайн, неработающие элементы, отсутствие нескольких страниц поиска, политика конфиденциальности (да кто ее читает?) и другие поверхностные признаки. Зайдя на страничку автора, пользователь увидит 11 лет стажа с 2015 по 2026 год, а не пустой неактивный профиль.

Я пишу эту статью в надежде показать, какие есть признаки неочевидной мышеловки. Я пишу в надежде донесли мысль, что начинающему разработчику не стоит открывать первое попавшееся «письмо счастья» в надежде на быстрый успех.

?