Ce qu’il faut retenir :
- Bitrefill attribue au groupe Lazarus l’attaque du 1er mars 2026 qui a compromis 18 500 enregistrements d’achat contenant emails et adresses de paiement.
- Les hackers ont accédé aux clés de production, vidé des portefeuilles chauds et exploité l’inventaire de cartes cadeaux via un ordinateur portable d'employé compromis.
- La société couvre les pertes avec son capital opérationnel et a repris ses activités après avoir pris le système hors ligne pour contenir les dégâts.
Une attaque sophistiquée via un employé
La plateforme de paiements crypto et cartes cadeaux Bitrefill accuse le groupe de hackers nord-coréens Lazarus d’avoir orchestré l’attaque du 1er mars 2026 qui a compromis ses infrastructures et ses portefeuilles de cryptomonnaies.
L’intrusion a commencé par la compromission d’un ordinateur portable d'employé, exposant des identifiants obsolètes qui ont permis aux attaquants d’accéder à l’infrastructure plus large de Bitrefill. Cette méthode leur a donné accès à des parties de la base de données et aux portefeuilles de cryptomonnaies de la société.
18 500 données clients exposées
Les hackers ont compromis 18 500 enregistrements d’achat contenant des emails, des adresses de paiement et des adresses IP. Environ 1 000 de ces enregistrements incluaient également des noms d’utilisateur chiffrés.
Bitrefill précise qu’aucune preuve n’indique que les données clients constituaient l’objectif principal. Ses logs révèlent que les attaquants ont effectué un nombre limité de requêtes ciblant les avoirs en cryptomonnaies et l’inventaire de cartes cadeaux plutôt que d’extraire l’ensemble de la base de données.
Exploitation de l’inventaire et des portefeuilles
L’attaque s’est manifestée par des schémas d’achat inhabituels chez certains fournisseurs, signalant que les hackers exploitaient l’inventaire de cartes cadeaux et les chaînes d’approvisionnement de Bitrefill. Simultanément, ils vidaient des portefeuilles chauds en transférant les fonds vers leurs propres adresses.
La société a identifié des similitudes avec les précédentes attaques attribuées au groupe Lazarus, également connu sous le nom de Bluenoroff, notamment dans l’utilisation de malwares, le traçage on-chain et la réutilisation d’adresses IP et emails. Ce groupe a déjà visé des projets crypto majeurs comme Ronin Network, Harmony’s Horizon Bridge, WazirX et Atomic Wallet.
Ce qu’il faut surveiller
Bitrefill a mis son système hors ligne pour contenir les dégâts et a depuis repris ses opérations. La société couvre les pertes avec son capital opérationnel et travaille avec des chercheurs en sécurité, des équipes de réponse aux incidents et les forces de l’ordre pour l’enquête.
Cet article vous a plu ? Recevez les prochains par email
Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.
