Penggodaman Bitrefill dikaitkan dengan Lazarus: apa ia dedah tentang risiko kripto

Platform pembayaran kripto dan kad hadiah Bitrefill telah menyambung semula operasi selepas serangan siber pada 1 Mac 2026 mendedahkan sebahagian infrastruktur dan dompet kriptonya.

Syarikat mengaitkan pelanggaran itu dengan Lazarus Group yang dikaitkan dengan Korea Utara hasil siasatan dalaman.

Penyerang memperoleh akses kepada kunci produksi, mengosongkan dana dari dompet panas, dan mengakses set terhad rekod pembelian pelanggan.

Bitrefill berkata ia akan menampung semua kerugian menggunakan modal operasi.

Walaupun perkhidmatan telah kembali normal, insiden ini menyerlahkan risiko yang dihadapi platform kripto dan tahap kecanggihan kumpulan penggodam yang dikaitkan dengan negara.

Bagaimana pelanggaran bermula

Serangan bermula daripada komputer riba seorang pekerja yang dikompromi yang mendedahkan kelayakan lama.

Ini membolehkan penyerang bergerak merentasi sistem Bitrefill dan memperoleh akses kepada infrastruktur, termasuk pangkalan data dan dompet kripto.

Pelanggaran itu menjadi jelas apabila syarikat mengesan tingkah laku pembelian yang luar biasa dalam kalangan pembekal.

Penyerang mengeksploitasi inventori kad hadiah sambil memindahkan dana keluar dari dompet panas.

Bitrefill bertindak dengan mematikan sistem untuk mengandungi insiden itu.

Syarikat kemudian mengesahkan bahawa penyerang menggunakan perisian hasad, penjejakan on-chain, dan menggunakan semula pola IP dan e-mel.

Kaedah ini sepadan dengan taktik yang dikaitkan dengan Lazarus Group, juga dikenali sebagai Bluenoroff.

Kaitan dengan serangan kripto terdahulu

Lazarus Group telah dikaitkan dengan beberapa pelanggaran dalam sektor kripto.

Insiden sebelum ini mensasarkan platform seperti Ronin Network, Harmony’s Horizon Bridge, WazirX, dan Atomic Wallet.

Bitrefill berkata teknik yang digunakan dalam serangan ini menunjukkan persamaan dengan kes-kes terdahulu.

Ini termasuk memperoleh akses melalui kelayakan yang dikompromi, menyasarkan dompet panas, dan memindahkan dana melalui rangkaian blockchain.

Sebuah akaun terperinci mengenai insiden itu dikongsi oleh syarikat di X, menerangkan bagaimana penyerang menggabungkan kaedah pencerobohan siber dengan pergerakan dana berasaskan blockchain.

Pendedahan data pelanggan

Pelanggaran itu melibatkan akses kepada kira-kira 18,500 rekod pembelian.

Rekod ini termasuk alamat e-mel, alamat pembayaran kripto, dan metadata seperti alamat IP.

Kira-kira 1,000 rekod juga mengandungi nama pengguna yang disulitkan yang dikaitkan dengan pembelian.

Bitrefill berkata ia menganggap subset ini berkemungkinan telah dikompromi dan telah menghubungi pengguna yang terjejas.

Syarikat menyatakan tiada bukti bahawa data pelanggan merupakan sasaran utama.

Log dalaman menunjukkan penyerang menjalankan sejumlah kecil pertanyaan tertumpu pada baki kriptowang dan inventori kad hadiah daripada mengekstrak keseluruhan pangkalan data.

Bitrefill juga menyatakan bahawa ia menyimpan maklumat peribadi yang minimum dan tidak memerlukan KYC wajib, yang mungkin telah mengurangkan skop pendedahan.

Pengguna dinasihatkan untuk terus berhati-hati terhadap komunikasi yang tidak dijangka.

Pemulihan dan langkah keselamatan

Bitrefill berkata kebanyakan sistem, termasuk pembayaran, stok, dan akaun, kini kembali dalam talian, dengan jumlah transaksi kembali normal.

Syarikat mengesahkan bahawa ia kekal menguntungkan dan mampu menanggung impak kewangan akibat pelanggaran itu.

Sebagai tindak balas, ia telah memperkenalkan peningkatan keselamatan.

Ini termasuk ujian penembusan luaran, kawalan akses yang lebih ketat, penambahbaikan pencatatan dan pemantauan, serta prosedur tindak balas insiden yang dikemas kini.

Syarikat terus bekerjasama dengan penyelidik keselamatan, pasukan tindak balas insiden, penganalisis on-chain, dan penguatkuasa undang-undang sebagai sebahagian daripada siasatan.

Bitrefill menggambarkan ini sebagai insiden keselamatan utama pertamanya dalam lebih daripada sedekad operasi dan berkata ia telah mengambil langkah untuk mengukuhkan pertahanannya selepas serangan itu.