Les données transactionnelles de la plateforme de commerce électronique de cryptomonnaies Bitrefill ont été divulguées, probablement liées aux Lazarus

Bitrefill subit une infiltration précise du groupe Lazarus, son portefeuille chaud a été vidé, 18 500 enregistrements ont été affectés, et la menace des hackers nord-coréens refait surface.

De l’ordinateur portable d’un employé aux secrets de production : l’infiltration ciblée du groupe Lazarus

La plateforme de commerce électronique de cryptomonnaies Bitrefill a publié hier (17/03) un rapport d’enquête officiel révélant qu’elle a été victime d’une attaque informatique hautement professionnelle le 1er mars. Selon l’enquête, cette attaque présente une forte similitude avec le groupe de hackers soutenu par la Corée du Nord, « Lazarus Group » (Lazarus) et sa branche Bluenoroff.

Dans son rapport, Bitrefill indique que les techniques d’attaque, les caractéristiques des logiciels malveillants, les flux de fonds sur la blockchain, ainsi que l’utilisation répétée d’adresses IP et d’emails pointent tous vers cette organisation nord-coréenne très active dans le secteur des cryptomonnaies. Le point de départ de l’infiltration a été l’intrusion dans l’ordinateur personnel d’un employé, à partir duquel les hackers ont dérobé d’anciens certificats liés au système de production.

Source : X/@bitrefill Rapport d’enquête publié par la plateforme de commerce électronique de cryptomonnaies Bitrefill concernant l’attaque du 1er mars

Bien que ces certificats soient obsolètes, ils ont constitué la clé d’entrée pour les hackers dans le système central de Bitrefill. En accédant à un instantané du système d’informations de production, ils ont pu obtenir des droits plus élevés et se déplacer latéralement dans l’infrastructure de l’entreprise. Par la suite, ils ont ciblé certaines bases de données internes et des portefeuilles chauds de cryptomonnaies. Ce mode opératoire, consistant à franchir un point unique pour accéder aux secrets de production, est une stratégie typique du groupe Lazarus, illustrant les défis importants pour les entreprises dans la gestion des anciens certificats et la sécurité des points d’accès. Bitrefill souligne qu’en dépit de la fermeture des vulnérabilités et du renforcement des défenses, le haut niveau de professionnalisme des hackers indique qu’il s’agit d’une opération ciblée, planifiée de longue date.

Fuite dans la chaîne d’approvisionnement, vol des fonds des portefeuilles chauds et des stocks de cartes cadeaux

L’attaque a été détectée initialement par des comportements anormaux côté opérationnel. L’équipe de sécurité de Bitrefill a constaté des modèles d’achat inhabituels dans les transactions entre la plateforme et ses fournisseurs. Après une enquête approfondie, il a été confirmé que les hackers exploitaient le stock de cartes cadeaux et les canaux de la chaîne d’approvisionnement pour effectuer des retraits illégaux. Parallèlement, plusieurs portefeuilles chauds internes ont commencé à transférer des fonds vers des adresses contrôlées par les hackers. Face à cette crise de sécurité immédiate, Bitrefill a rapidement mis hors ligne tous ses systèmes mondiaux pour limiter l’étendue des dégâts. Étant donné que la plateforme propose des milliers de produits, plusieurs modes de paiement et une chaîne d’approvisionnement internationale, le processus de nettoyage de la sécurité et de redémarrage du système a duré plus de deux semaines.

Concernant les pertes financières, le montant total exact n’a pas encore été entièrement divulgué, mais Bitrefill admet que les fonds dans ses portefeuilles chauds ont été effectivement vidés. Pendant leur présence dans le système, les hackers ont effectué plusieurs requêtes ciblées, principalement pour vérifier les actifs disponibles à voler, notamment les réserves de cryptomonnaies et le stock de cartes cadeaux.

Bitrefill indique que l’opération des hackers était extrêmement efficace, témoignant d’une connaissance approfondie du fonctionnement de la plateforme de commerce électronique. La société a ensuite collaboré avec plusieurs équipes spécialisées, notamment zeroShadow, SEAL911 (SEAL Org) et RecoverisTeam, pour suivre les mouvements des fonds sur la blockchain et effectuer une analyse numérique et une purge des serveurs affectés.

18 500 enregistrements d’achats affectés, risque de fuite de données personnelles

Outre les pertes financières, la sécurité des données clients suscite également l’attention. L’enquête de Bitrefill montre que, bien que les hackers n’aient pas extrait l’intégralité de la base de données, environ 18 500 enregistrements d’achats ont été accessibles. Ces données compromises incluent les adresses email des clients, leurs adresses de paiement en cryptomonnaies, leurs adresses IP, ainsi que d’autres métadonnées. Parmi elles, environ 1 000 enregistrements contiennent le nom du client, qui est stocké de manière cryptée dans la base, mais étant donné que les hackers pourraient avoir obtenu la clé de chiffrement, Bitrefill adopte une attitude de précaution maximale, considérant ces données comme potentiellement accessibles, et a directement informé par email les utilisateurs concernés.

Bitrefill insiste sur le fait que son modèle commercial limite la collecte d’informations personnelles (PII) des clients, ce qui a permis de réduire l’impact lors de cet incident.

La plateforme ne requiert pas la vérification d’identité obligatoire (KYC) pour la majorité des utilisateurs, et pour ceux qui doivent être vérifiés, tous les documents et informations sont gérés par des fournisseurs tiers externes, sans être stockés sur les serveurs ou systèmes de sauvegarde internes de Bitrefill. Selon l’analyse des logs actuels, la priorité des hackers était principalement les fonds, et leurs requêtes étaient majoritairement liées à l’inventaire des actifs. Néanmoins, les utilisateurs affectés doivent rester vigilants face à d’éventuelles tentatives de phishing ou de communications frauduleuses liées aux cryptomonnaies.

Reprise complète des opérations, Bitrefill s’engage à absorber les pertes

Actuellement, l’ensemble des opérations mondiales de Bitrefill ont été rétablies, y compris les paiements, le réapprovisionnement des stocks et l’accès aux comptes. La société affirme que sa situation financière est saine et rentable à long terme, et qu’elle absorbera intégralement les pertes causées par cette attaque avec ses fonds d’exploitation. Tous les soldes des comptes utilisateurs sont restés sécurisés et non affectés, et la société dispose de suffisamment de capital pour faire face à ce défi financier. Pour renforcer la sécurité, Bitrefill a mis en place des contrôles d’accès internes plus stricts, un système de surveillance automatisé, et a amélioré ses procédures d’urgence et de fermeture pour pouvoir réagir plus rapidement en cas d’activité anormale, évitant ainsi qu’un seul point d’intrusion ne mène à une défaillance totale.

Cet incident souligne une fois de plus la menace considérable que représentent les hackers nord-coréens pour l’industrie des cryptomonnaies. Selon Chainalysis, en 2025, les organisations liées à la Corée du Nord ont dérobé plus de 2,02 milliards de dollars en cryptomonnaies, représentant 59 % du total des fonds illicites cette année-là.

Source : Chainalysis En 2025, les organisations liées à la Corée du Nord ont dérobé plus de 2,02 milliards de dollars en cryptomonnaies

Cela inclut notamment l’attaque historique de 1,5 milliard de dollars menée par Lazarus début 2025 contre Bybit, ainsi que les intrusions dans Upbit (32 millions) et CoinDCX (44 millions). Alors que la Corée du Nord continue d’utiliser les fonds volés pour financer ses programmes d’armement, la menace de sécurité nationale que représente l’industrie des cryptomonnaies devient de plus en plus critique. Bitrefill indique qu’elle poursuivra ses audits de sécurité externes et ses tests de pénétration pour maintenir sa résilience face à ces groupes de hackers professionnels.