Bitrefill victime d’une attaque menée par un groupe de hackers nord-coréen : environ 18 500 enregistrements d’achats d’utilisateurs ont été consultés.
7x24h Brève
Bitrefill victime d’une attaque menée par un groupe de hackers nord-coréen : environ 18 500 enregistrements d’achats d’utilisateurs ont été consultés.
Selon un message publié par Bitrefill sur sa page officielle X, la plateforme de cartes-cadeaux cryptographiques Bitrefill a subi une cyberattaque le 1<sup>er</sup> mars 2026. Sur la base de plusieurs critères — notamment les techniques d’attaque utilisées, les logiciels malveillants déployés, le traçage sur la blockchain ainsi que la réutilisation d’adresses IP et d’adresses e-mail — les enquêteurs estiment que cette attaque présente une forte similitude avec des opérations antérieures menées par le groupe de pirates nord-coréen DPRK Lazarus/Bluenoroff contre le secteur cryptographique. L’accès initial à l’infrastructure de Bitrefill s’est effectué via un ordinateur portable appartenant à un employé, qui avait été compromis. Les attaquants ont ainsi pu récupérer d’anciens identifiants, puis accéder à des instantanés contenant des clés de production. À partir de là, ils se sont progressivement propagés horizontalement vers une partie plus étendue de l’infrastructure, y compris certains serveurs de bases de données et des portefeuilles chauds de cryptomonnaies ; les fonds détenus dans ces portefeuilles chauds ont ensuite été transférés vers des adresses contrôlées par les attaquants. En ce qui concerne les données utilisateur, environ 18 500 enregistrements d’achats ont été consultés par les attaquants. Ces enregistrements comprennent des métadonnées telles que les adresses e-mail, les adresses de paiement cryptographique et les adresses IP. Parmi ces enregistrements, environ 1 000 contiennent également des noms d’utilisateurs. Bien que ces noms soient stockés sous forme chiffrée, les attaquants ayant vraisemblablement obtenu les clés de chiffrement correspondantes, les utilisateurs concernés ont reçu une notification individuelle par courriel. L’entreprise précise qu’aucune preuve ne permet actuellement de confirmer que les attaquants ont procédé à une extraction complète de la base de données. Bitrefill a depuis repris son fonctionnement normal. La société affirme disposer d’une situation financière saine et couvrira intégralement les pertes liées à cet incident à l’aide de ses fonds de trésorerie opérationnels. Elle renforcera par ailleurs de manière continue ses mécanismes de contrôle d’accès, de surveillance des journaux (logs) et de réponse aux incidents.
Dédié à des analyses Web3 approfondiesTechFlow rapporte que, le 18 mars, Bitrefill a annoncé sur sa page officielle X qu’une cyberattaque s’était produite contre la plateforme de cartes-cadeaux cryptographiques le 1er mars 2026. Selon les méthodes d’attaque employées, les logiciels malveillants utilisés, le traçage sur la blockchain ainsi que les adresses IP et les adresses e-mail réutilisées, les enquêteurs jugent que cette attaque présente une forte similitude avec celles précédemment menées par le groupe de hackers nord-coréen DPRK Lazarus/Bluenoroff contre le secteur des actifs numériques.
L’intrusion initiale s’est effectuée via l’ordinateur portable d’un employé qui avait été compromis. Les attaquants ont ainsi pu récupérer des identifiants anciens, puis accéder à des instantanés contenant des clés de production, avant de procéder à une propagation latérale vers une infrastructure plus étendue, notamment certaines bases de données et des portefeuilles chauds de cryptomonnaies, dont les fonds ont ensuite été transférés vers des adresses contrôlées par les attaquants.
En ce qui concerne les données utilisateurs, environ 18 500 enregistrements d’achats ont été consultés par les attaquants ; ces enregistrements comprennent des métadonnées telles que les adresses e-mail, les adresses de paiement cryptographique et les adresses IP. Parmi ces enregistrements, environ 1 000 contiennent des noms d’utilisateurs, bien que ceux-ci aient été stockés sous forme chiffrée. Toutefois, comme les attaquants auraient pu obtenir les clés de chiffrement, les utilisateurs concernés ont été informés individuellement par courriel. L’entreprise précise qu’aucune preuve n’indique que les attaquants ont procédé à une extraction complète de la base de données.
Actuellement, Bitrefill a repris son activité normale. L’entreprise affirme disposer d’une situation financière saine et couvrira intégralement les pertes subies grâce à ses fonds opérationnels propres. Elle renforcera continuellement ses contrôles d’accès, sa surveillance des journaux (logs) et ses mécanismes de réponse aux incidents.
