익명 깃허브 계정, 비공개 제로데이 대량 공개

익명 깃허브 계정의 제로데이 취약점 공개

익명의 깃허브 사용자 'bikini'가 'exploitarium'이라는 저장소를 통해 대량의 제로데이 취약점과 관련된 공개적인 증명 코드(PoC) 및 취약점 연구 보고서를 게시했습니다. 이 저장소는 아직 보고되지 않은 취약점들을 포함하고 있으며, 사용자가 직접 보고하여 CVE 번호를 받을 수 있도록 장려하고 있습니다. 그러나 이러한 자료를 악용하지 말라는 경고도 함께 하고 있습니다.

저장소 개요

• 저장소 이름: bikini/exploitarium
• 스타 수: 2.1k
• 포크 수: 471
• 주요 언어: Python, C, Rust, JavaScript, PHP, Shell

저장소는 다양한 취약점의 PoC와 연구 보고서를 하나의 아카이브로 통합한 것입니다. 대부분의 폴더는 이전에 독립적으로 존재하던 PoC 리포지토리를 포함하고 있으며, 원본 README와 추적 파일이 보존되어 있습니다. 새로운 연구 항목은 독립적인 폴더로 직접 추가됩니다.

주요 취약점 목록

• 7zip-rar5-motw-chain-poc
• anydesk-printer-com-impersonation-poc
• c-ares-tcp-uaf-calc-poc
• docker-cp-copyout-destination-escape
• ffmpeg-rasc-dlta-calc-poc
• firefox-smartwindow-private-url-exfil-poc
• floci-apigateway-vtl-rce-poc
• flowise-mcp-env-case-bypass-poc
• ghidra-12.1.2-rce-ace-calc-poc
• gitea-act-runner-container-options-poc
• imagemagick-gs-delegate-hijack-poc
• libssh2-cve-2026-55200-poc
• libssh2-publickey-list-calc-poc
• lunar-modrinth-chain-poc
• mybb-limited-acp-to-admin
• nghttp2-nghttpx-upgrade-queue-poison-poc
• nmap-ipv6-extlen-wrap-poc
• objdump-dlx-calc-poc
• openvpn-connect-echo-script-ace-poc
• php857-streambucket-soap-rce-rpoc
• rustdesk-session-permission-pocs
• systeminformer-phsvc-trusted-host-lpe-poc
• vlc-vp9-reschange-crash-poc

저장소의 목적과 사용 경고

이 저장소는 사이버 보안 분야에 대한 관심을 유도하기 위해 만들어졌으며, 연구 및 교육 목적으로 사용되기를 바랍니다. 저장소의 소유자는 AI를 활용하여 취약점 탐지 작업을 자동화했으며, GPT-5.5-3-Codex-Spark 모델을 사용했다고 밝혔습니다. 그러나 이러한 자료를 악의적으로 사용하는 것은 금지되어 있으며, 이는 선의의 공개 취약점 연구로 간주됩니다.

추가 정보

• 연락 방법: Discord @ashdfrkl
• 활동: 매일 새로운 PoC를 추가할 계획이며, 보안 연구자들이 PoC를 환경에 맞게 조정할 수 있도록 지원할 예정입니다.
• 기여자: objdump 취약점 발견에 기여한 다른 연구자에게도 크레딧을 부여하고 있습니다.

이 저장소는 공개적으로 취약점을 연구하고 공유하는 데 중점을 두고 있으며, 사용자는 이를 통해 보안 연구에 대한 이해를 높일 수 있습니다. 그러나 저장소의 자료를 악용하는 것은 사이버 범죄로 간주되며, 이는 강력히 금지됩니다.