TokyoBlackHatNews

bleepingcomputer.com 5分で読了

ハッカーがソースコード窃取を主張、Targetの開発サーバーがオフラインに

Image

ハッカーは、公開のソフトウェア開発プラットフォーム上に盗まれたコードリポジトリのサンプルと思われるものを公開したうえで、Target Corporationに属する内部ソースコードを販売していると主張している。

先週、正体不明の脅威アクターがGitea上に複数のリポジトリを作成し、Targetの内部コードや開発者向けドキュメントの一部を含むように見えた。これらのリポジトリは、地下フォーラムまたはプライベートチャネルで購入者に販売されているとされる、はるかに大規模なデータセットのプレビューとして提示されていた。

BleepingComputerがこの疑惑の侵害についてTargetに質問した後、ファイルはオフラインにされ、小売業者のGitサーバーであるgit.target.comはインターネットからアクセスできなくなった。

ハッカーがTargetのソースコードを販売すると宣伝

先週、BleepingComputerは、ある脅威アクターがTargetの内部開発環境へのアクセスを得たという主張を裏付けるため、プライベートなハッキングコミュニティにスクリーンショットを投稿しているという情報提供を受けた。

同じアクターはまた、GitHubやGitLabに似たセルフホスト型GitサービスであるGitea上に複数のリポジトリを公開し、販売に出していると主張するデータのサンプルとして提示していた。

情報源によると、ハッカーは「これはオークションにかけられる[最初の一式の]データだ」と主張したという。

各リポジトリにはSALE.MD という名前のファイルが含まれており、完全なデータセットに含まれるとされる数万件のファイルおよびディレクトリが列挙されていた。この一覧は57,000行超に及び、総アーカイブサイズは約860GBだと宣伝していた。

Image
販売用の完全ダンプに含まれるとされる内容を列挙したSALE.MDファイル
(BleepingComputer)

Giteaのサンプルリポジトリ名には次のものが含まれていた:

  • wallet-services-wallet-pentest-collections
  • TargetIDM-TAPProvisioingAPI
  • Store-Labs-wan-downer
  • Secrets-docs
  • GiftCardRed-giftcardui

注目すべき点として、コミットのメタデータやドキュメントには、Targetの内部開発サーバー名や、複数の現職のTargetのリードおよびシニアエンジニアの名前が参照されていた。

Gitea repositories purportedly showing a part of Target's internal source code
Targetの内部ソースコードとドキュメントの一部を示すとされるGiteaリポジトリ
(BleepingComputer)

TargetのGitサーバーが稼働していない

BleepingComputerは木曜日にGiteaのリンクをTargetと共有し、この疑惑の侵害についてコメントを求めた。

金曜日から土曜日にかけて、すべてのリポジトリが削除され、404エラーを返すようになった。これは削除要請に伴うものと整合する。

ほぼ同時期に、Targetの開発者向けGitサーバーであるgit.target.comも、インターネットからアクセス不能になった

金曜日までは、このサブドメインに到達でき、ログインページへリダイレクトされていた。そこではTargetの従業員に対し、同社のセキュアネットワークまたはVPN経由で接続するよう促していた。土曜日時点で、サイトは外部から読み込めなくなっている:

The git.target.com is now offline
git.target.comがオフライン化される前のサイト(BleepingComputer)

BleepingComputerはまた、Googleなどの検索エンジンがgit.target.comの少数のリソースをインデックス化しキャッシュしていたことも確認しており、過去のある時点で当該ドメインの一部コンテンツが公開アクセス可能だったことを示している。

それらのページがいつインデックス化されたのか、どのような設定下だったのかは不明であり、検索結果に存在すること自体は、現在の主張がサーバーの露出と結び付いていること、あるいはGit基盤が最近認証なしでアクセス可能だったことを必ずしも示すものではない。

Possible the subdomain hosted public assets earlier
gitサブドメインが過去のある時点で公開アセットを提供していた可能性
(BleepingComputer)

証拠は内部由来を示唆

BleepingComputerは、860GBの完全なデータセットを独自に検証したわけでも、侵害が発生したことを確認したわけでもないが、SALE.MDのインデックスにあるディレクトリ構造、リポジトリ命名、内部システム参照は、大規模企業のGit環境と整合している。

さらに、その内容はTargetのオープンソースのGitHub上のプロジェクトのいずれとも一致せず、仮に本物であれば、公開済みコードではなくプライベートな開発基盤から流出したものであることを示している。

コミットのメタデータやドキュメントに現職のTargetのリードおよびシニアエンジニアの名前が含まれていること、またconfluence.target.comのような内部APIエンドポイントやプラットフォームへのリンクがあることも、ファイルの出所について疑問を投げかけている。

さらに、Targetの盗まれたとされるソースコードを保存するために使われていたGiteaリポジトリが現在利用できなくなっている事実も、侵害の可能性を示唆している。

Targetは当初リポジトリのリンク提供を求めた後、公開前に複数回問い合わせたにもかかわらず、追加のコメントはなかった。

Targetがこれまで公表した中で最も重大なセキュリティインシデントは、依然として2013年の侵害である。この侵害では、攻撃者が最大1億1,000万人の顧客に属する決済カードデータやその他の個人識別情報を盗み、東欧に所在するインフラへ持ち出したと、米上院および学術調査は述べている。

翻訳元: https://www.bleepingcomputer.com/news/security/targets-dev-server-offline-after-hackers-claim-to-steal-source-code/

ソース: bleepingcomputer.com
#Gitea #Gitサーバー #インシデント対応 #サイバー攻撃 #ソースコード流出 #ターゲット(Target) #データ漏えい疑惑 #ランサム・恐喝(データ販売) #企業セキュリティ #地下フォーラム

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用