تأكيد موظفي Target على صحة تسريب الشيفرة المصدرية

في تطور مثير، أكد العديد من موظفي Target الحاليين والسابقين لـ BleepingComputer أن الشيفرة المصدرية والمستندات التي تمت مشاركتها من قبل جهة تهديد تتطابق مع الأنظمة الداخلية الحقيقية.

كما شارك أحد الموظفين الحاليين اتصالات داخلية تعلن عن تغيير أمني "متسارع" يقيّد الوصول إلى خادم Git الخاص بـ Target، والذي تم طرحه بعد يوم واحد من اتصال BleepingComputer بالشركة حول التسريب المزعوم.

موظفون يؤكدون صحة المواد المسربة

أبلغت BleepingComputer حصريًا أن المتسللين يدعون أنهم يبيعون الشيفرة المصدرية الداخلية لـ Target بعد نشر ما يبدو أنه عينة من المستودعات المسروقة على Gitea، وهو منصة تطوير برمجيات عامة.

منذ ذلك الحين، تواصل العديد من المصادر التي لديها معرفة مباشرة بأنظمة CI/CD الداخلية في Target مع معلومات تؤكد صحة البيانات المسربة.

أكد موظف سابق في Target أن أسماء الأنظمة الداخلية التي تم رؤيتها في العينة، مثل "BigRED" و"TAP [Provisioning]"، تتوافق مع منصات حقيقية مستخدمة في الشركة لنشر التطبيقات السحابية والمحلية.

كما أكد كل من موظف حالي وآخر سابق أن عناصر من مجموعة التكنولوجيا، بما في ذلك مجموعات بيانات Hadoop، المشار إليها في العينة المسربة تتماشى مع الأنظمة المستخدمة داخليًا.

يشمل ذلك أدوات مبنية حول منصة CI/CD مخصصة تعتمد على Vela، والتي ذكرتها Target سابقًا علنًا، بالإضافة إلى استخدام بنية تحتية لسلسلة التوريد مثل JFrog Artifactory، كما يتضح أيضًا من معلومات الأعمال الخارجية.

كما أشار الموظفون بشكل مستقل إلى أسماء رموز المشاريع الخاصة ومعرفات التصنيف، مثل تلك المعروفة داخليًا باسم "blossom IDs"، التي تظهر في مجموعة البيانات المسربة.

تدعم وجود هذه المراجع النظامية، أسماء الموظفين، أسماء المشاريع، وعناوين URL المطابقة في العينة مزيدًا من الأدلة على أن المواد تعكس بيئة تطوير داخلية حقيقية بدلاً من شيفرة مصنوعة أو عامة.

إذا كنت موظفًا في Target أو لديك أي معلومات تتعلق بهذا الحدث، يرجى إرسال نصيحة لنا عبر الإنترنت أو عبر Signal على @axsharma.01.

Target تطلق تغيير الوصول "المتسارع"

شارك موظف حالي، طلب عدم الكشف عن هويته، أيضًا لقطة شاشة لرسالة Slack على مستوى الشركة حيث أعلن مدير منتج كبير عن تغيير أمني مفاجئ، بعد يوم من اتصال BleepingComputer بـ Target:

"اعتبارًا من 9 يناير 2026، يتطلب الوصول إلى git.target.com (خادم GitHub Enterprise المحلي لـ Target) الاتصال بشبكة مُدارة من قبل Target (إما في الموقع أو عبر VPN). تم تسريع هذا التغيير ويتماشى مع كيفية تعاملنا مع الوصول إلى GitHub.com،" كما ذكر المدير.

يمكن أن تستضيف خوادم Git Enterprise مستودعات خاصة، مرئية فقط للموظفين المعتمدين، ومشاريع مفتوحة المصدر عامة.

ومع ذلك، يتم عادةً استضافة الشيفرة المفتوحة المصدر في Target على GitHub.com، بينما يتم استخدام git.target.com للتطوير الداخلي ويتطلب مصادقة الموظف.

كما تم الإبلاغ عنه أمس، كان git.target.com متاحًا عبر الويب حتى الأسبوع الماضي وطلب من الموظفين تسجيل الدخول. لم يعد متاحًا الآن من الإنترنت العامة ويمكن الوصول إليه فقط من الشبكة الداخلية لـ Target أو عبر VPN الشركات، مما يشير إلى إغلاق الوصول إلى بيئة الشيفرة المصدرية الخاصة بالشركة.

git.target.com site before it was taken offline (BleepingComputer)

تسريب البيانات، خرق أو مشاركة داخلية؟

لم يتم تحديد السبب الجذري لكيفية وصول البيانات إلى يد جهة التهديد بعد.

ومع ذلك، أخبر الباحث الأمني Alon Gal، CTO ومؤسس Hudson Rock، BleepingComputer أن فريقه حدد محطة عمل موظف في Target تم اختراقها بواسطة برامج ضارة في سبتمبر 2025 وكان لديها وصول واسع إلى الخدمات الداخلية.

"هناك حاسوب مصاب مؤخرًا لموظف في Target لديه وصول إلى IAM وConfluence وwiki وJira،" كما أخبر Gal BleepingComputer.

"هذا مهم بشكل خاص لأنه، على الرغم من عشرات الموظفين المصابين في Target الذين رأيناهم، لم يكن لدى أي منهم بيانات اعتماد IAM ولم يكن لدى أي منهم وصول إلى wiki، باستثناء حالة أخرى واحدة."

لا يوجد تأكيد بأن هذا الإصابة مرتبطة مباشرة بالشيفرة المصدرية التي يتم الإعلان عنها الآن للبيع. ومع ذلك، ليس من غير المألوف أن يقوم المهاجمون باستخراج البيانات ومحاولة تحقيق الربح منها أو تسريبها بعد أشهر. على سبيل المثال، بدأت عصابة برامج الفدية Clop في ابتزاز الضحايا من خلال تهديدات تسريب البيانات في أكتوبر 2025 للمواد المسروقة منذ يوليو من نفس العام.

تدعي جهة التهديد أن مجموعة البيانات الكاملة بحجم حوالي 860 جيجابايت. بينما قامت BleepingComputer بمراجعة عينة بحجم 14 ميجابايت تتكون من خمسة مستودعات جزئية، يقول الموظفون إن حتى هذه المجموعة المحدودة تحتوي على شيفرة داخلية حقيقية ومراجع نظام، مما يثير تساؤلات حول نطاق وحساسية ما قد تحتويه الأرشيف الأكبر بكثير.

شاركت BleepingComputer روابط مستودعات Gitea مع Target الأسبوع الماضي وعرضت لاحقًا تمرير نتائج استخبارات التهديد من Hudson Rock للمساعدة في التحقيق. لم تستجب الشركة لأسئلة المتابعة وتبقى صامتة بشأن ما إذا كانت تحقق في خرق أو احتمال مشاركة داخلية.