Lazarus Group 再出手！Bitrefill 員工筆電被入侵，熱錢包資金遭盜

加密货币电商平台 Bitrefill 于 3 月 18 日在 X 上披露，公司在 3 月 1 日遭受网络安全攻击，攻击手法与朝鲜黑客组织 Lazarus Group 的已知特征高度吻合。黑客入侵一名员工的笔记本电脑，进而窃取公司热钱包中的资金，并获得 18,500 笔购买记录的访问权限。

攻击路径：从员工笔电横向渗透至热钱包

Bitrefill 的披露揭示了此次攻击的多层渗透路径：黑客首先以恶意软件入侵员工设备，再以此作为跳板横向渗透至公司热钱包，这种“终端设备作为入口、核心资产为目标”的路径，与 Lazarus Group 及其关联组织 BlueNoroff Group 的已知攻击手法相符。

Bitrefill 指出，BlueNoroff Group 可能是此次事件的参与方，甚至可能是唯一的攻击者。在数据访问层面，攻击者对购买记录数据库进行了有限查询，主要目的是“探测可窃取的资产，包括加密货币和礼品卡库存”。Bitrefill 强调，没有证据显示攻击者提取了整个数据库，攻击动机以财务窃取为主。

客户影响：有限信息外泄，服务已全面恢复

攻击者访问了 18,500 笔购买记录，Bitrefill 表示这可能导致“有限的客户信息”外泄，但未发现大规模数据库抽取的迹象。Bitrefill 对外宣称：“几乎所有服务已恢复正常——支付、库存及账户，销售量也已回归正常水平。”

安全应对：四家安全公司介入，防御体系全面升级

事件发生后，Bitrefill 采取了多项应对措施：

即时封堵：第一时间关闭相关系统以遏制攻击扩散

执法通报：已联系相关执法部门

第三方安全合作：与 Security Alliance、FearsOff Security、Recoveris.io 及 zeroShadow 四家加密安全公司展开合作调查

系统强化：落实安全研究人员的建议，加强内部访问控制，改善监控机制以缩短检测与响应时间

Bitrefill 表示，自事件发生以来，其网络安全措施已“显著改善”。

Lazarus Group 背景：从 Bybit 14 亿到 Bitrefill

Lazarus Group 是目前加密货币行业最具破坏力的威胁组织之一，与朝鲜政府存在密切关联。2025 年 2 月，Lazarus Group 被指控策动了加密货币史上最大的单次盗窃事件，从交易所 Bybit 盗取了高达 14 亿美元的加密资产，是有史以来规模最大的加密货币黑客攻击。

Bitrefill 此次事件是继 Bybit 之后，Lazarus Group 或其关联组织被指控策动的最新攻击，再次显示该组织持续以加密企业员工设备为主要渗透切入点。

常见问题

Bitrefill 攻击事件的核心手法是什么？

攻击发生于 3 月 1 日，黑客利用恶意软件、链上追踪及重复使用的 IP 与电子邮件基础设施，入侵一名员工的笔记本电脑，进而获得热钱包访问权限窃取资金，并对 18,500 笔购买记录进行了有限查询。

为什么 Bitrefill 将此次攻击指向 Lazarus Group？

Bitrefill 指出，攻击所采用的手法——包括恶意软件部署、链上追踪及基础设施重复利用——与 Lazarus Group 的已知攻击特征高度吻合，同时指出与 Lazarus Group 密切相关的 BlueNoroff Group 也可能是参与方或唯一攻击者。

Bitrefill 用户的个人资料是否已大规模外泄？

Bitrefill 表示目前没有证据显示攻击者提取了整个数据库，攻击者仅进行了有限查询，主要目标是识别可窃取的财务资产。然而，18,500 笔购买记录遭到访问，部分有限的客户信息仍存在外泄风险，建议用户留意相关异常。