Криптовалютная платформа электронной коммерции Bitrefill стала жертвой кибератаки, предположительно организованной северокорейской хакерской группировкой Lazarus. Инцидент произошел 1 марта 2026 года и привел к хищению средств из горячих кошельков компании и несанкционированным покупкам через каналы поставщиков.
Атака началась с компрометации ноутбука сотрудника, что позволило злоумышленникам получить доступ к устаревшим учетным данным производственных систем Bitrefill. Используя эти данные, хакеры смогли проникнуть во внутреннюю инфраструктуру компании, включая сегменты базы данных и некоторые криптовалютные кошельки.
Компания обнаружила взлом, заметив подозрительные паттерны покупок и аномалии в деятельности поставщиков. В качестве предупредительной меры Bitrefill временно отключила свои системы для локализации инцидента. Точный объем похищенных средств не раскрывается, однако компания заявила, что покроет все финансовые потери за счет собственного операционного капитала.
В ходе атаки были скомпрометированы около 18 500 записей о покупках. Раскрытые данные включают адреса электронной почты клиентов, криптовалютные платежные адреса и метаданные, такие как IP-адреса. Примерно 1 000 записей содержат зашифрованные имена клиентов, которые теперь считаются потенциально раскрытыми из-за возможности доступа злоумышленников к ключам шифрования.
Bitrefill подчеркивает, что хранит минимальный объем персональных данных и не требует обязательной проверки KYC для большинства транзакций. Любая собранная информация KYC обрабатывается внешними провайдерами и не хранится в системах Bitrefill. Компания уже связалась с пострадавшими пользователями для уведомления о нарушении.
Расследование Bitrefill указывает на группировку Lazarus как на вероятного виновника. Компания отметила несколько ключевых индикаторов, связывающих эту атаку с Lazarus, включая используемое вредоносное ПО, повторно используемую инфраструктуру (IP-адреса и учетные записи электронной почты) и паттерны транзакций в блокчейне. Lazarus печально известна своим участием в крупных кражах криптовалюты, включая атаки на биржи и другие криптосервисы.
Кибербезопасность в криптоиндустрии все больше связана с операционными рисками, а не с уязвимостями протоколов, причем точки доступа, связанные с человеческим фактором, и внутренние системы становятся основной поверхностью для атак. Bitrefill заявила, что восстановила большинство операций, включая платежи, инвентарь и учетные записи пользователей, и что уровни активности вернулись к норме после сбоя.
