Selon BleepingComputer, des hackers affirment vendre du code source interne de Target après avoir publié un échantillon sur Gitea. Des employés actuels et anciens ont confirmé que ces éléments correspondent à des systèmes réels de l’entreprise, et Target a durci en urgence l’accès à son serveur Git interne.

🧑‍💻 Confirmation d’authenticité: des sources familières des pipelines CI/CD et de l’infrastructure de Target attestent que les noms de systèmes tels que BigRED et TAP [Provisioning], des datasets Hadoop, ainsi que des éléments de la stack (plateforme CI/CD personnalisée basée sur Vela, JFrog Artifactory) et des taxonomies internes (« blossom IDs ») présents dans l’échantillon correspondent à l’environnement réel. La présence de noms d’employés, de projets et d’URL internes renforce l’authenticité du leak.

🔒 Verrouillage accéléré: un message Slack interne annonce qu’à compter du 9 janvier 2026, l’accès à git.target.com (GitHub Enterprise Server on‑prem) nécessite un réseau géré par Target (site ou VPN). Le site, auparavant accessible sur le web avec invite d’authentification, n’est plus joignable depuis Internet et n’est accessible que depuis le réseau interne, indiquant un lockdown. Chez Target, l’open source est hébergé sur GitHub.com, tandis que git.target.com est réservé au développement interne.

🧪 Ampleur et statut: l’acteur malveillant revendique un corpus d’environ 860 Go. BleepingComputer n’a vu qu’un échantillon de 14 Mo (cinq dépôts partiels), que des employés jugent néanmoins authentique. BleepingComputer a partagé les liens Gitea avec Target et proposé de relayer des renseignements de Hudson Rock; l’entreprise n’a pas répondu aux relances ni indiqué si elle enquête une intrusion ou une implication interne.

🐍 Piste infostealer (non confirmée): Hudson Rock indique qu’un poste d’employé Target a été compromis par un malware infostealer fin septembre 2025, avec accès à IAM, Confluence, wiki et Jira. Bien que le lien avec le leak ne soit pas établi, BleepingComputer rappelle que des acteurs peuvent exfiltrer des données puis les monétiser des mois plus tard (ex: activités d’extorsion de Clop à partir d’octobre 2025 pour des vols dès juillet).

🔎 IOCs et TTPs mentionnés:

  • Indices/artefacts: domaine interne git.target.com; noms/systèmes internes: BigRED, TAP [Provisioning]; outils: Vela (CI/CD personnalisé), JFrog Artifactory, datasets Hadoop; taxonomies « blossom IDs »; dépôts publiés sur Gitea.
  • TTPs: exfiltration et mise en vente de code source; compromission possible via infostealer d’un poste employé; accès à services internes (IAM, Confluence, wiki, Jira); durcissement/restriction d’accès à un GitHub Enterprise interne; éventuelle monétisation différée des données.

Type d’article: article de presse spécialisé visant à rapporter la confirmation d’authenticité, les mesures de restriction d’accès et les éléments connus de contexte autour de l’origine possible des données.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/target-employees-confirm-leaked-source-code-is-authentic/