La plateforme de paiements en crypto-monnaies et de cartes-cadeaux Bitrefill a accusé le groupe de hackers Lazarus lié à la Corée du Nord d'une cyberattaque le 1er mars 2026 qui a compromis des parties de son infrastructure et de ses portefeuilles de crypto-monnaies.

Les attaquants ont obtenu l'accès aux clés de production, transféré des fonds depuis les portefeuilles chauds et exposé 18 500 enregistrements d'achat contenant des emails, des adresses de paiement et des adresses IP.

Environ 1 000 enregistrements incluaient des noms d'utilisateur cryptés. Les utilisateurs concernés ont été notifiés. Les opérations ont repris, l'entreprise annonçant qu'elle couvrira les pertes à partir du capital opérationnel. L'incident souligne l'importance de la vigilance concernant la sécurité crypto et on-chain.

Le modus operandi incluait des logiciels malveillants, le traçage on-chain et la réutilisation d'adresses IP et email et était similaire aux attaques précédentes attribuées au groupe Lazarus de la Corée du Nord, également connu sous le nom de Bluenoroff, a déclaré l'entreprise dans un rapport détaillé sur X.

Le groupe Lazarus a précédemment ciblé des projets crypto incluant Ronin Network, Harmony's Horizon Bridge, WazirX et Atomic Wallet.

Comment l'attaque s'est déroulée

Tout a commencé avec un ordinateur portable d'employé compromis, qui a exposé des identifiants hérités et permis aux attaquants d'accéder à l'infrastructure plus large de Bitrefill, y compris des parties de sa base de données et des portefeuilles de crypto-monnaies.

La violation est rapidement devenue évidente lorsque l'entreprise a remarqué des modèles d'achat inhabituels chez certains fournisseurs, signalant que les attaquants exploitaient son inventaire de cartes-cadeaux et ses chaînes d'approvisionnement. L'entreprise a également noté que les attaquants vidaient certains portefeuilles chauds et déplaçaient des fonds vers leurs propres adresses, suite à quoi le système a été mis hors ligne pour contenir les dégâts.

« Bitrefill exploite une activité de commerce électronique mondiale avec des dizaines de fournisseurs, des milliers de produits et plusieurs méthodes de paiement dans de nombreux pays. Arrêter en toute sécurité toutes ces choses et les remettre en ligne n'est pas trivial », a déclaré l'entreprise dans un communiqué.

Depuis l'incident, Bitrefill travaille avec des chercheurs en sécurité, des équipes de réponse aux incidents, des analystes on-chain et les forces de l'ordre pour enquêter sur la violation.

Impact sur les données clients

Les hackers ont accédé à un petit ensemble d'enregistrements d'achat, environ 18 500, contenant

Bitrefill a déclaré qu'il n'y a aucune preuve que les données client étaient une cible principale. Ses journaux indiquent que les attaquants ont exécuté un nombre limité de requêtes visant les avoirs en crypto-monnaies et l'inventaire de cartes-cadeaux plutôt que d'extraire l'intégralité de la base de données.

La plateforme stocke un minimum de données personnelles et ne requiert pas de KYC obligatoire. Un petit sous-ensemble d'enregistrements d'achat, environ 18 500, a été accédé, contenant des informations telles que des adresses email, des adresses de paiement crypto et des métadonnées incluant des adresses IP. Environ 1 000 enregistrements contenaient des noms cryptés pour des produits spécifiques ; l'entreprise traite ces données comme potentiellement compromises et a notifié les clients concernés directement par email.

À l'heure actuelle, Bitrefill ne pense pas que les clients doivent prendre des mesures supplémentaires, bien qu'elle conseille la prudence concernant les communications inattendues liées à Bitrefill ou aux crypto-monnaies.

Mesures pour renforcer la sécurité

En réponse à la violation, Bitrefill a déclaré avoir déjà renforcé ses pratiques de cybersécurité et travaille à tirer des leçons de l'incident.

L'entreprise a décrit plusieurs mesures, notamment la réalisation de tests de pénétration complets avec des experts externes, le resserrement des contrôles d'accès internes, l'amélioration de la journalisation et de la surveillance pour une détection plus rapide des menaces, et le perfectionnement des procédures de réponse aux incidents et des protocoles d'arrêt automatisés.

Perspectives

Bitrefill a reconnu qu'il s'agissait de sa première attaque majeure en plus d'une décennie d'opération, mais a souligné qu'elle reste bien financée et rentable, capable d'absorber les pertes opérationnelles. La plupart des systèmes, y compris les paiements, le stock et les comptes, sont de nouveau en ligne, avec des volumes de ventes revenant à la normale.

« Être touché par une attaque sophistiquée est vraiment nul », a déclaré l'entreprise. « Mais nous avons survécu. Nous continuerons à faire de notre mieux pour continuer à mériter la confiance de nos clients. »