La plate-forme de paiement en crypto-monnaie et de cartes-cadeaux Bitrefill a accusé le groupe de piratage informatique Lazarus, lié à la Corée du Nord, d’être responsable d’une cyberattaque du 1er mars 2026, qui a compromis une partie de son infrastructure et de ses portefeuilles de crypto-monnaie.
Les attaquants ont eu accès aux clés de production, transféré des fonds depuis des portefeuilles chauds et exposé 18 500 enregistrements d’achat contenant des e-mails, des adresses de paiement et des adresses IP.
Environ 1 000 enregistrements comprenaient des noms d’utilisateur cryptés. Les utilisateurs concernés ont été informés. Les opérations ont repris, la société annonçant couvrir les pertes sur le capital opérationnel. L’incident souligne l’importance de la vigilance concernant la sécurité des crypto-monnaies et de la chaîne.
Le mode opératoire comprenait des logiciels malveillants, le traçage en chaîne et la réutilisation des adresses IP et e-mail et était similaire aux attaques précédentes attribuées au groupe nord-coréen Lazarus, également connu sous le nom de Bluenoroff, a déclaré la société dans un rapport détaillé sur X.
Le groupe Lazarus a déjà ciblé des projets de cryptographie, notamment Ronin Network, Harmony’s Horizon Bridge, WazirX et Atomic Wallet.
Comment s’est déroulée l’attaque
Tout a commencé avec un ordinateur portable d’employé compromis, qui a exposé les informations d’identification héritées et a permis aux attaquants d’accéder à l’infrastructure plus large de Bitrefill, y compris à certaines parties de sa base de données et à ses portefeuilles de crypto-monnaie.
La faille est rapidement devenue apparente lorsque l’entreprise a remarqué des habitudes d’achat inhabituelles chez certains fournisseurs, indiquant que les attaquants exploitaient son inventaire de cartes-cadeaux et ses chaînes d’approvisionnement. La société a également noté que les attaquants vidaient certains portefeuilles chauds et transféraient des fonds vers leurs propres adresses, après quoi le système a été mis hors ligne pour contenir les dégâts.
« Bitrefill exploite une entreprise mondiale de commerce électronique avec des dizaines de fournisseurs, des milliers de produits et de multiples méthodes de paiement dans de nombreux pays. Éteindre toutes ces choses en toute sécurité et les remettre en ligne n’est pas anodin », a déclaré la société dans un communiqué.
Depuis l’incident, Bitrefill a travaillé avec des chercheurs en sécurité, des équipes de réponse aux incidents, des analystes en chaîne et les forces de l’ordre pour enquêter sur la violation.
Impact sur les données clients
Les pirates ont accédé à un petit ensemble de dossiers d’achat, environ 18 500, contenant
Bitrefill a déclaré qu’il n’y avait aucune preuve que les données clients étaient une cible principale. Ses journaux indiquent que les attaquants ont exécuté un nombre limité de requêtes visant les avoirs en crypto-monnaie et l’inventaire des cartes-cadeaux plutôt que d’extraire l’intégralité de la base de données.
La plateforme stocke un minimum de données personnelles et ne nécessite pas de KYC obligatoire. Un petit sous-ensemble d’enregistrements d’achat, environ 18 500, a été consulté, contenant des informations telles que des adresses e-mail, des adresses de paiement cryptées et des métadonnées, notamment des adresses IP. Environ 1 000 enregistrements contenaient des noms cryptés pour des produits spécifiques ; la société considère ces données comme potentiellement compromises et a informé les clients concernés directement par e-mail.
À l’heure actuelle, Bitrefill ne pense pas que les clients doivent prendre des mesures supplémentaires, bien qu’il recommande la prudence concernant les communications inattendues liées à Bitrefill ou à la crypto-monnaie.
Mesures pour renforcer la sécurité
En réponse à cette violation, Bitrefill a déclaré avoir déjà renforcé ses pratiques de cybersécurité et s’efforce de tirer les leçons de l’incident.
L’entreprise a présenté plusieurs mesures, notamment la réalisation de tests d’intrusion complets avec des experts externes, le renforcement des contrôles d’accès internes, l’amélioration de la journalisation et de la surveillance pour une détection plus rapide des menaces, et l’affinement des procédures de réponse aux incidents et des protocoles d’arrêt automatisés.
Avoir hâte de
Bitrefill a reconnu qu’il s’agissait de sa première attaque majeure depuis plus d’une décennie d’activité, mais a souligné qu’elle restait bien financée et rentable, capable d’absorber les pertes opérationnelles. La plupart des systèmes, y compris les paiements, les stocks et les comptes, sont de nouveau en ligne et les volumes de ventes reviennent à la normale.
« Être touché par une attaque sophistiquée est (très) nul », a déclaré la société. « Mais nous avons survécu. Nous continuerons à faire de notre mieux pour continuer à mériter la confiance de nos clients. »