اختراق Bitrefill المرتبط بجماعة لازاروس يكشف مخاطر العملات المشفرة

استأنفت منصة مدفوعات العملات المشفرة وبطاقات الهدايا Bitrefill عملياتها بعد أن كشف هجوم سيبراني في 1 مارس 2026 عن أجزاء من بنيتها التحتية ومحافظ العملات المشفرة.

أرجعت الشركة الخرق إلى جماعة لازاروس المرتبطة بكوريا الشمالية بعد تحقيق داخلي.

تمكن المهاجمون من الوصول إلى مفاتيح الإنتاج، وسحب أموال من المحافظ الساخنة، والاطلاع على مجموعة محدودة من سجلات مشتريات العملاء.

قالت Bitrefill إنها ستغطّي جميع الخسائر باستخدام رأس المال التشغيلي.

بينما عادت الخدمات إلى وضعها الطبيعي، تُبرز الحادثة المخاطر التي تواجه منصات العملات المشفرة وتعقيد مجموعات القرصنة المرتبطة بالدول.

كيف بدأ الخرق

انطلق الهجوم من حاسوب محمول لموظف تم اختراقه وكشف بيانات اعتماد قديمة.

سمح ذلك للمهاجمين بالتحرك عبر أنظمة Bitrefill والوصول إلى البنية التحتية، بما في ذلك قواعد البيانات ومحافظ العملات المشفرة.

ظهر الخرق عندما اكتشفت الشركة سلوك شراء غير معتاد بين الموردين.

استغل المهاجمون مخزون بطاقات الهدايا بينما كانوا يحوِّلون الأموال من المحافظ الساخنة.

ردت Bitrefill بأخذ الأنظمة خارج الخدمة لاحتواء الحادث.

أكدت الشركة لاحقاً أن المهاجمين استخدموا برمجيات خبيثة، والتتبع على السلسلة، وإعادة استخدام أنماط عناوين IP والبريد الإلكتروني.

طابقت هذه الأساليب التكتيكات المنسوبة إلى جماعة لازاروس، المعروفة أيضاً باسم Bluenoroff.

روابط بهجمات سابقة على العملات المشفرة

رُبطت جماعة لازاروس بعدد من الخروقات في قطاع العملات المشفرة.

استهدفت حوادث سابقة منصات مثل Ronin Network وHarmony’s Horizon Bridge وWazirX وAtomic Wallet.

قالت Bitrefill إن التقنيات المستخدمة في هذا الهجوم أظهرت تشابهاً مع حالات سابقة.

يشمل ذلك الوصول عبر بيانات اعتماد مختَرقة، واستهداف المحافظ الساخنة، وتحريك الأموال عبر شبكات البلوكشين.

شاركت الشركة بياناً مفصلاً عن الحادث على منصة X، موضحة كيف جمع المهاجمون طرق التسلل السيبراني مع حركات مالية قائمة على البلوكشين.

تعرض بيانات العملاء

شمل الخرق الوصول إلى حوالي 18,500 سجل مشتريات.

تضمنت هذه السجلات عناوين بريد إلكتروني، وعناوين دفع بالعملات المشفرة، وبيانات وصفية مثل عناوين IP.

احتوى نحو 1,000 سجل أيضاً على أسماء مستخدمين مُشفرة مرتبطة بالمشتريات.

قالت Bitrefill إنها تعامل هذا الجزء كمجموعة معرضة للخطر واتصلت بالمستخدمين المتأثرين.

أعلنت الشركة أنه لا يوجد دليل على أن بيانات العملاء كانت الهدف الأساسي.

أظهرت السجلات الداخلية أن المهاجمين شغّلوا عدداً محدوداً من الاستعلامات التي ركزت على أرصدة العملات المشفرة ومخزون بطاقات الهدايا بدلاً من استخراج قاعدة البيانات كاملة.

كما أشارت Bitrefill إلى أنها تخزن حدّاً أدنى من المعلومات الشخصية ولا تتطلب إجراءات KYC إلزامية، ما قد يقلل من نطاق التعرض.

نُصح المستخدمون بأن يظلوا حذرين من الاتصالات غير المتوقعة.

التعافي وتدابير الأمن

قالت Bitrefill إن معظم الأنظمة، بما في ذلك أنظمة الدفع والمخزون والحسابات، عادت الآن للعمل، مع عودة أحجام المعاملات إلى المستوى الطبيعي.

أكدت الشركة أنها لا تزال تحقق أرباحاً وقادرة على امتصاص التأثير المالي للاختراق.

استجابة لذلك، أدخلت تحسينات أمنية.

تشمل هذه: اختبارات اختراق خارجية، ضوابط وصول أكثر صرامة، تحسين السجلات والمراقبة، وتحديث إجراءات الاستجابة للحوادث.

تواصل الشركة العمل مع باحثي الأمن، وفرق الاستجابة للحوادث، ومحللي البلوكشين، وجهات إنفاذ القانون كجزء من التحقيق.

وصفت Bitrefill هذا بأنه أول حادث أمني رئيسي لها في أكثر من عقد من العمل، وقالت إنها اتخذت خطوات لتعزيز دفاعاتها بعد الهجوم.