Πολλοί νυν και πρώην υπάλληλοι της Target επικοινώνησαν με το BleepingComputer για να επιβεβαιώσουν ότι ο πηγαίος κώδικας και η τεκμηρίωση που μοιράζεται ένας παράγοντας απειλών ταιριάζουν με πραγματικά εσωτερικά συστήματα.
Ένας τρέχων υπάλληλος μοιράστηκε επίσης εσωτερικές επικοινωνίες ανακοινώνοντας μια “επιταχυνόμενη” αλλαγή ασφαλείας που περιόριζε την πρόσβαση στον διακομιστή Enterprise Git του Target, που κυκλοφόρησε μια ημέρα αφότου η BleepingComputer επικοινώνησε για πρώτη φορά με την εταιρεία σχετικά με την υποτιθέμενη διαρροή.
Οι εργαζόμενοι επαληθεύουν τη γνησιότητα των υλικών που διέρρευσαν
Χθες, η BleepingComputer ανέφερε αποκλειστικά ότι οι χάκερ ισχυρίζονται ότι πουλούν τον εσωτερικό πηγαίο κώδικα του Target αφού δημοσίευσαν αυτό που φαίνεται να είναι δείγμα κλεμμένων αποθετηρίων στο Gitea, μια δημόσια πλατφόρμα ανάπτυξης λογισμικού.
Έκτοτε, πολλές πηγές με άμεση γνώση των εσωτερικών αγωγών και της υποδομής CI/CD της Target έχουν επικοινωνήσει με πληροφορίες που επιβεβαιώνουν την αυθεντικότητα των δεδομένων που διέρρευσαν.
Ένας πρώην υπάλληλος της Target επιβεβαίωσε ότι στο δείγμα εμφανίζονται ονόματα εσωτερικού συστήματος, όπως “BigRED” και “TAP [Provisioning]», αντιστοιχούν σε πραγματικές πλατφόρμες που χρησιμοποιούνται στην εταιρεία για ανάπτυξη και ενορχήστρωση εφαρμογών cloud και εσωτερικής εγκατάστασης.
Τόσο ένας νυν όσο και ο πρώην υπάλληλος της Target επιβεβαίωσαν επίσης ότι στοιχεία της στοίβας τεχνολογίας, συμπεριλαμβανομένων των συνόλων δεδομένων Hadoop, που αναφέρονται στο δείγμα που διέρρευσε ευθυγραμμίζονται με συστήματα που χρησιμοποιούνται εσωτερικά.
Αυτό περιλαμβάνει εργαλεία που έχουν δημιουργηθεί γύρω από μια προσαρμοσμένη πλατφόρμα CI/CD που βασίζεται στο Vela — γεγονός που έχει ο Target αναφέρθηκε και προηγουμένως δημόσιακαθώς και η χρήση υποδομής εφοδιαστικής αλυσίδας όπως το JFrog Artifactory, όπως επίσης φαίνεται από επιχειρηματική πληροφορία τρίτων.
Οι εργαζόμενοι ανέφεραν επίσης ανεξάρτητα κωδικές ονομασίες έργων και εσωτερικά αναγνωριστικά ταξινόμησης, όπως αυτά που είναι γνωστά εσωτερικά ως “αναγνωριστικά ανθέων”, που εμφανίζονται στο σύνολο δεδομένων που διέρρευσε.
Η παρουσία αυτών των αναφορών συστήματος, των ονομάτων έργων και των αντίστοιχων διευθύνσεων URL στο δείγμα υποστηρίζει περαιτέρω ότι το υλικό αντικατοπτρίζει ένα πραγματικό εσωτερικό περιβάλλον ανάπτυξης και όχι κατασκευασμένο ή γενικό κώδικα.
Εάν είστε υπάλληλος της Target ή έχετε οποιαδήποτε πληροφορία σχετικά με αυτό το συμβάν, εμπιστευτικά στείλτε μας μια συμβουλή διαδικτυακά ή μέσω Σύνθημα στο @axsharma.01.
Ο στόχος παρουσιάζει την «επιταχυνόμενη» αλλαγή πρόσβασης
Ένας τρέχων υπάλληλος, ο οποίος ζήτησε ανωνυμία, μοιράστηκε επίσης ένα στιγμιότυπο οθόνης ενός μηνύματος Slack σε ολόκληρη την εταιρεία στο οποίο ένας ανώτερος διευθυντής προϊόντων ανακοίνωσε μια ταχεία αλλαγή ασφάλειας, μια ημέρα αφότου η BleepingComputer είχε επικοινωνήσει με την Target:
“Από τις 9 Ιανουαρίου 2026, η πρόσβαση στο git.target.com (ο on-prem GitHub Enterprise Server του Target) απαιτεί πλέον σύνδεση σε δίκτυο που διαχειρίζεται ο στόχος (είτε επιτόπου είτε μέσω VPN). Αυτή η αλλαγή επιταχύνθηκε και ευθυγραμμίζεται με τον τρόπο που χειριζόμαστε την πρόσβαση στο GitHub.com.
Οι διακομιστές Enterprise Git μπορούν να φιλοξενήσουν τόσο ιδιωτικά αποθετήρια, ορατά μόνο σε πιστοποιημένους υπαλλήλους, όσο και δημόσια έργα ανοιχτού κώδικα.
Στο Target, ωστόσο, ο κώδικας ανοιχτού κώδικα είναι γενικά φιλοξενείται στο GitHub.comενώ το git.target.com χρησιμοποιείται για εσωτερική ανάπτυξη και απαιτεί έλεγχο ταυτότητας υπαλλήλου.
Όπως αναφέρθηκε χθες, το git.target.com ήταν προσβάσιμο μέσω του ιστού μέχρι την περασμένη εβδομάδα και ζήτησε από τους υπαλλήλους να συνδεθούν. Πλέον δεν είναι πλέον προσβάσιμο από το δημόσιο Διαδίκτυο και μπορεί να προσπελαστεί μόνο από το εσωτερικό δίκτυο του Target ή το εταιρικό VPN, γεγονός που υποδηλώνει κλείδωμα της πρόσβασης στο ιδιόκτητο περιβάλλον πηγαίου κώδικα της εταιρείας.
Διαρροή δεδομένων, παραβίαση ή εμπλοκή εμπιστευτικών πληροφοριών;
Η βασική αιτία για το πώς τα δεδομένα κατέληξαν στα χέρια του δράστη της απειλής δεν έχει ακόμη προσδιοριστεί.
Ωστόσο, ερευνητής ασφάλειας Alon GalCTO και συνιδρυτής της Hudson Rock, είπε στο BleepingComputer ότι η ομάδα του εντόπισε έναν σταθμό εργασίας εργαζομένων στο Target που είχε παραβιαστεί από κακόβουλο λογισμικό infostealer στα τέλη Σεπτεμβρίου 2025 και είχε πρόσβαση σε εσωτερικές υπηρεσίες, συμπεριλαμβανομένων των IAM, Confluence, Wiki και Jira.
“Υπάρχει ένας πρόσφατα μολυσμένος υπολογιστής ενός υπαλλήλου της Target με πρόσβαση στο IAM, το Confluence, το wiki και το Jira”, είπε ο Gal στο BleepingComputer.
“Είναι ιδιαίτερα σημαντικό γιατί, παρά τους δεκάδες μολυσμένους υπαλλήλους του Target που έχουμε δει, σχεδόν κανένας δεν είχε διαπιστευτήρια IAM και κανένας δεν είχε πρόσβαση στο wiki, εκτός από μία άλλη περίπτωση.”
Δεν υπάρχει επιβεβαίωση ότι αυτή η μόλυνση συνδέεται απευθείας με τον πηγαίο κώδικα που διαφημίζεται τώρα προς πώληση. Ωστόσο, δεν είναι ασυνήθιστο για τους παράγοντες απειλών να διεισδύουν δεδομένα και να προσπαθούν να δημιουργήσουν έσοδα ή να τα διαρρεύσουν μήνες αργότερα. Για παράδειγμα, η συμμορία ransomware Clop άρχισε να εκβιάζει θύματα μέσω απειλών διαρροής δεδομένων τον Οκτώβριο του 2025 για δεδομένα που είχαν κλαπεί ήδη από τον Ιούλιο του ίδιου έτους.
Ο παράγοντας απειλής ισχυρίζεται ότι το πλήρες σύνολο δεδομένων είναι περίπου 860 GB σε μέγεθος. Ενώ η BleepingComputer έχει εξετάσει μόνο ένα δείγμα 14 MB που περιλαμβάνει πέντε επιμέρους αποθετήρια, οι εργαζόμενοι λένε ότι ακόμη και αυτό το περιορισμένο υποσύνολο περιέχει αυθεντικούς εσωτερικούς κωδικούς και αναφορές συστήματος, εγείροντας ερωτήματα σχετικά με το εύρος και την ευαισθησία του τι θα μπορούσε να περιέχει το πολύ μεγαλύτερο αρχείο.
Η BleepingComputer μοιράστηκε τους συνδέσμους του αποθετηρίου Gitea με το Target την περασμένη εβδομάδα και αργότερα προσφέρθηκε να διαβιβάσει τα ευρήματα απειλών-πληροφοριών του Hudson Rock για να βοηθήσει στην έρευνα. Η εταιρεία δεν έχει απαντήσει σε επακόλουθες ερωτήσεις και παραμένει σιωπηλή σχετικά με το εάν ερευνά παραβίαση ή πιθανή εμπλοκή εμπιστευτικών πληροφοριών.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
