Bitrefill تكشف عن هجوم سيبراني وتشير إلى مجموعة Lazarus الكورية الشمالية

قالت منصة التجارة الإلكترونية للعملات المشفرة Bitrefill إنها كانت هدفًا لهجوم إلكتروني في أوائل هذا الشهر أسفر عن سرقة أموال وتقليل تعرض بيانات العملاء، مع مؤشرات تشير إلى أن مجموعة لازاروس المرتبطة بكوريا الشمالية هي الجاني المحتمل.

بدأ الاختراق، الذي بدأ في 1 مارس، من جهاز كمبيوتر محمول لموظف مخترق، وفقًا لتقرير الحادث الخاص بالشركة.

تمكن المهاجمون من استخراج بيانات اعتماد قديمة مرتبطة بأنظمة الإنتاج، مما سمح لهم بتصعيد الوصول عبر بنية Bitrefill التحتية، بما في ذلك أجزاء من قاعدة البيانات الداخلية ومحافظ العملات المشفرة الساخنة.

قالت Bitrefill إن المهاجمين استولوا على مبلغ غير معلن من الأموال من محافظها الساخنة، واستغلوا أيضًا أنظمة مخزون بطاقات الهدايا الخاصة بها لإجراء عمليات شراء مشبوهة مع البائعين. لم تحدد الشركة التأثير المالي الإجمالي، لكنها ذكرت أنها ستتحمل الخسائر باستخدام رأس المال التشغيلي.

تم اكتشاف الاختراق لأول مرة من خلال أنماط شراء غير منتظمة وشوائب في نشاط الموردين.

ردًا على ذلك، أوقفت Bitrefill أنظمتها مؤقتًا لاحتواء الاختراق عبر عملياتها العالمية. وقالت الشركة إن الخدمات، بما في ذلك المدفوعات والوصول إلى الحسابات، عادت إلى مستوياتها الطبيعية منذ ذلك الحين.

كجزء من الهجوم، تم الوصول إلى حوالي 18500 سجل شراء. تشمل البيانات المعرضة عناوين البريد الإلكتروني، وعناوين الدفع بالعملات المشفرة، وبيانات وصفية مثل عناوين IP.

حوالي 1000 من تلك السجلات تتعلق بأسماء عملاء مشفرة، والتي تُعامل على أنها معرضة للخطر بسبب احتمال وصول المهاجمين إلى مفاتيح التشفير. قالت Bitrefill إنها أبلغت المستخدمين المتأثرين مباشرة.

على الرغم من الاختراق، أكدت الشركة أنها تخزن الحد الأدنى من البيانات الشخصية ولا تتطلب التحقق الإلزامي من معرفة عميلك (KYC) لمعظم المعاملات. يتم التعامل مع أي معلومات تتعلق بـ KYC من قبل مزودين خارجيين ولا تُخزن ضمن أنظمة Bitrefill. وأضافت أن لا دليل على أن قاعدة بياناتها الكاملة تم تسريبها أو أن بيانات العملاء كانت الهدف الرئيسي.

قالت الشركة: “استنادًا إلى تحقيقنا وسجلاتنا، لا نعتقد أن بيانات العملاء كانت الهدف”، مشيرة إلى أن المهاجمين قاموا باستعلامات محدودة تتوافق مع استقصاء عن أصول قيمة مثل حيازات العملات المشفرة ومخزون بطاقات الهدايا.

ارتبطت مجموعة لازاروس من كوريا الشمالية بالهجوم

ذكرت Bitrefill عدة مؤشرات تربط الهجوم بمجموعة لازاروس، بما في ذلك التشابهات في البرمجيات الخبيثة، والبنية التحتية المعاد استخدامها مثل عناوين IP وحسابات البريد الإلكتروني، وأنماط المعاملات على السلسلة.

تُرتبط المجموعة، التي غالبًا ما تُربط بكوريا الشمالية، ببعض أكبر سرقات العملات المشفرة في السنوات الأخيرة من خلال فرعها المتخصص، بلو نوروف.

ساعدت شركات الأمن السيبراني بما في ذلك zeroShadow و SEAL911 و RecoverisTeam في الاستجابة والتحقيق، إلى جانب محللين على السلسلة ووكالات إنفاذ القانون. قالت الشركة إنها تنفذ تدابير أمنية إضافية، بما في ذلك توسيع أنظمة المراقبة والضوابط الداخلية، لمنع حوادث مماثلة.

يسلط الهجوم الضوء على المخاوف المستمرة بشأن التهديدات السيبرانية المدعومة من الدول في قطاع الأصول الرقمية.

وفقًا لشركة تحليلات blockchain Chainalysis، كانت مجموعات مرتبطة بكوريا الشمالية مسؤولة عن أكثر من 2 مليار دولار من سرقات العملات المشفرة في عام 2025، مما يمثل حصة كبيرة من النشاط غير القانوني في المجال.

قالت Bitrefill إن العمليات استقرت بعد الحادث وأعربت عن ثقتها في تعافيها، مشيرة إلى أن نشاط العملاء وحجم المبيعات عاد إلى المستويات الاعتيادية.