La plateforme de commerce électronique de cryptomonnaies Bitrefill a révélé le 18 mars sur X qu’elle avait été victime d’une attaque informatique le 1er mars, dont les caractéristiques correspondent fortement à celles du groupe de hackers nord-coréen Lazarus Group. Les hackers ont infiltré l’ordinateur portable d’un employé, ce qui leur a permis de voler des fonds dans le portefeuille chaud de l’entreprise et d’accéder à 18 500 enregistrements d’achats.
Chemin d’attaque : infiltration latérale du PC de l’employé vers le portefeuille chaud
La divulgation de Bitrefill dévoile un parcours d’attaque en plusieurs étapes : les hackers ont d’abord infecté l’équipement de l’employé avec un logiciel malveillant, puis ont utilisé cette intrusion comme tremplin pour pénétrer latéralement dans le portefeuille chaud de l’entreprise. Ce mode d’attaque, « terminal comme point d’entrée, actifs centraux comme cible », correspond aux techniques connues du Lazarus Group et de son organisation affiliée BlueNoroff Group.
Bitrefill indique que BlueNoroff Group pourrait être impliqué dans cet incident, voire l’unique attaquant. Sur le plan de l’accès aux données, les hackers ont effectué une requête limitée dans la base de données des enregistrements d’achats, principalement pour « détecter les actifs susceptibles d’être volés, y compris les cryptomonnaies et les stocks de cartes-cadeaux ». Bitrefill souligne qu’il n’y a aucune preuve que l’intégralité de la base de données ait été extraite, l’objectif principal étant un vol financier.
Impact sur les clients : fuite limitée d’informations, service entièrement rétabli
Les hackers ont accédé à 18 500 enregistrements d’achats. Bitrefill indique que cela pourrait entraîner une « fuite limitée d’informations clients », mais aucune indication d’un vol massif de données n’a été détectée. La société affirme : « presque tous les services ont été restaurés — paiements, stocks et comptes, et le volume des ventes est revenu à la normale. »
Réponse sécuritaire : intervention de quatre sociétés de cybersécurité, renforcement complet du système
Après l’incident, Bitrefill a mis en place plusieurs mesures :
-
Blocage immédiat : fermeture des systèmes concernés pour contenir l’attaque
-
Signalement aux autorités : contact avec les forces de l’ordre compétentes
-
Collaboration avec des experts en sécurité : partenariat avec Security Alliance, FearsOff Security, Recoveris.io et zeroShadow pour l’enquête
-
Renforcement du système : application des recommandations des chercheurs en sécurité, amélioration des contrôles d’accès internes, optimisation des mécanismes de surveillance pour réduire le délai de détection et de réponse
Bitrefill indique que ses mesures de cybersécurité ont « considérablement été améliorées » depuis l’incident.
Contexte de Lazarus Group : de Bybit à Bitrefill
Lazarus Group est l’un des groupes de menaces les plus destructeurs dans le secteur des cryptomonnaies, étroitement lié au gouvernement nord-coréen. En février 2025, Lazarus Group a été accusé d’avoir orchestré le plus grand vol de cryptomonnaies de l’histoire, dérobant jusqu’à 1,4 milliard de dollars d’actifs numériques sur la plateforme Bybit, ce qui constitue la plus grande attaque de hackers en cryptomonnaies à ce jour.
Ce dernier incident chez Bitrefill est la dernière attaque attribuée à Lazarus Group ou à ses organisations affiliées, après l’attaque sur Bybit, illustrant leur tendance à cibler principalement les appareils des employés des entreprises de cryptomonnaies.
Questions fréquentes
Quelle est la méthode principale de l’attaque contre Bitrefill ?
L’attaque a eu lieu le 1er mars, utilisant un logiciel malveillant, le suivi sur la blockchain et la réutilisation d’adresses IP et d’emails pour infiltrer l’ordinateur portable d’un employé, obtenir l’accès au portefeuille chaud, voler des fonds, et effectuer une requête limitée sur 18 500 enregistrements d’achats.
Pourquoi Bitrefill accuse-t-il Lazarus Group ?
Bitrefill explique que la méthode d’attaque — déploiement de logiciels malveillants, suivi blockchain, réutilisation d’infrastructures — correspond fortement aux caractéristiques connues de Lazarus Group, et mentionne également que BlueNoroff Group, organisation étroitement liée à Lazarus, pourrait être impliquée ou être l’unique attaquant.
Les données personnelles des utilisateurs de Bitrefill ont-elles été massivement compromises ?
Bitrefill indique qu’il n’y a pas de preuve que l’intégralité de la base de données ait été extraite. Les hackers ont effectué une requête limitée, principalement pour identifier les actifs financiers à voler. Cependant, l’accès à 18 500 enregistrements d’achats comporte un risque de fuite partielle d’informations clients, et il est conseillé aux utilisateurs de rester vigilants face à toute activité suspecte.
