Lazarus compromet Bitrefill : exfiltration de wallets et 18 50...

Bitrefill, la plateforme de cartes cadeaux et services payables en crypto, a publié un post-mortem détaillé sur X concernant l'attaque subie le 1er mars 2026. L'attribution pointe vers le groupe Lazarus (aussi connu sous le nom Bluenoroff), lié au régime nord-coréen, sur la base d'indicateurs incluant les patterns on-chain, les adresses IP réutilisées et les signatures de malware.

Le vecteur initial est un laptop d'employé compromis. L'infection a exposé des credentials legacy — des identifiants anciens qui n'avaient pas été révoqués ou rotés — donnant aux attaquants un accès latéral aux systèmes de production de Bitrefill. À partir de là, l'intrusion s'est étendue à l'infrastructure de gestion des wallets et à une portion de la base de données.

Côté exfiltration financière, les attaquants ont accédé aux clés de production des hot wallets et transféré des fonds vers leurs propres adresses. Parallèlement, ils ont exploité l'inventaire de cartes cadeaux et les chaînes d'approvisionnement fournisseurs. La détection est venue de patterns d'achat anormaux auprès de certains fournisseurs, indiquant une exploitation automatisée de l'inventaire.

Côté données, 18 500 records de transactions ont été exposés. Les champs compromis incluent les adresses email, les adresses de paiement crypto, les adresses IP et les métadonnées associées. Environ 1 000 records contenaient des noms d'utilisateurs chiffrés pour des produits spécifiques. Bitrefill ne collecte pas de KYC obligatoire, ce qui limite l'exposition PII (Personally Identifiable Information). L'analyse des logs indique que les requêtes des attaquants ciblaient principalement les holdings crypto et l'inventaire, pas l'extraction massive de la base.

Le modus operandi est cohérent avec les campagnes précédentes de Lazarus : compromission initiale via malware sur endpoint employé, mouvement latéral via credential reuse, exfiltration des actifs numériques. Le groupe a été attribué aux hacks de Ronin Network (620M$), Harmony Horizon Bridge (100M$), WazirX (235M$) et Atomic Wallet (35M$).

Les mesures post-incident déployées par Bitrefill incluent des pentests externes complets, le resserrement des contrôles d'accès internes, l'amélioration du logging et monitoring pour accélérer la détection, et la refonte des procédures d'incident response avec des protocoles de shutdown automatisés.

Les leçons à retenir pour l'industrie : la rotation des credentials legacy reste un point aveugle critique. Un seul laptop compromis avec des accès non-révoqués peut donner un chemin complet vers les actifs de production. La segmentation des accès hot wallet, le MFA sur les clés de signature et le monitoring comportemental des transactions fournisseurs sont des contrôles essentiels qui auraient pu limiter l'impact.

Bitrefill indique que les opérations ont repris normalement et que les pertes seront couvertes sur le capital opérationnel de l'entreprise. C'est le premier incident majeur en plus de dix ans d'activité de la plateforme.