L'azienda di e-commerce crypto Bitrefill rivela un attacco informatico, indicando il Lazarus Group della Corea del Nord come potenziale sospetto

L’azienda di e-commerce crypto e gift card Bitrefill ha dichiarato di essere stata vittima di un attacco informatico, probabilmente perpetrato dal gruppo di hacker nordcoreano sponsorizzato dallo stato, Lazarus Group, all’inizio di questo mese.

"Sulla base degli indicatori osservati durante l’indagine  – incluso il modus operandi, il malware utilizzato, tracciamenti on-chain e riutilizzo di indirizzi IP + email (!) – troviamo molte somiglianze tra questo attacco e quelli condotti in passato dal gruppo DPRK Lazarus / Bluenoroff contro altre aziende nel settore crypto," ha dichiarato Bitrefill martedì, riferendosi al sottogruppo specializzato di Bluenoroff.

Secondo Bitrefill, gli hacker sono riusciti a svuotare alcuni hot wallet dell’azienda e a effettuare acquisti sospetti presso i suoi fornitori. Non è chiaro quanto sia stato perso nell’attacco, che sembra abbia anche avuto accesso all'"infrastruttura più ampia di Bitrefill, inclusi segmenti del nostro database e alcuni wallet di criptovalute."

L’attacco, che sarebbe iniziato il 1° marzo, ha avuto accesso a 18.500 registrazioni di acquisto, potenzialmente rivelando "informazioni limitate dei clienti", come indirizzi email, indirizzi di pagamento crypto e metadati inclusi gli indirizzi IP.

Circa 1.000 di queste registrazioni compromesse presentano un rischio maggiore di aver potenzialmente rivelato nomi di clienti criptati. L’azienda ha dichiarato di aver contattato queste persone.

La Repubblica Popolare Democratica di Corea (DPRK) rappresenta attualmente la maggiore e più attiva minaccia alla sicurezza delle criptovalute. Chainalysis stima che gruppi e individui legati alla DPRK abbiano rubato un record di 2,02 miliardi di dollari tramite furti crypto nel 2025 — inclusa la più grande violazione mai avvenuta, l’hack di Bybit exchange da 1,5 miliardi di dollari da parte di Lazarus — su un totale di 3,4 miliardi di fondi crypto sottratti.

Bitrefill ha indicato che l'attacco è iniziato tramite un laptop compromesso di un proprio dipendente, un vettore d’attacco già utilizzato in precedenza. Lazarus, ad esempio, spesso tenta di infilare lavoratori IT fraudolenti all’interno di servizi crypto per ottenere accessi privilegiati a informazioni o fondi, ha spiegato Chainalysis.

Le frodi crypto sollevano spesso domande sull’archiviazione aziendale delle informazioni personali identificabili (PII). Lo scorso anno, Coinbase ha rivelato che dei criminali informatici avevano corrotto rappresentanti dell’assistenza clienti offshore dell’exchange per ottenere dati degli utenti e informazioni sulla gestione degli account, in un attacco che avrebbe potuto causare centinaia di milioni di dollari di perdite.

Bitrefill ha sottolineato di non richiedere il KYC obbligatorio per la maggior parte degli acquisti e, nei casi in cui il KYC sia necessario, "questi dati vengono conservati esclusivamente dal nostro provider esterno di KYC, senza alcun backup nei nostri sistemi."

"Sulla base della nostra indagine e dei nostri log non abbiamo motivo di pensare che i dati dei clienti fossero l’obiettivo di questa violazione," ha dichiarato Bitrefill. "Non ci sono evidenze che abbiano estratto l’intero nostro database, ma solo che gli aggressori abbiano eseguito un numero limitato di interrogazioni coerenti con delle prove per capire cosa ci fosse da sottrarre, incluse criptovalute e le gift card Bitrefill."

L’azienda "assorbirà" tutte le perdite dal proprio capitale operativo. Si è avvalsa della collaborazione di società di sicurezza informatica come zeroShadow, SEAL911, RecoverisTeam e altre durante la risposta all’attacco.

"Ormai quasi tutto è tornato alla normalità: pagamenti, magazzino, account," ha dichiarato Bitrefill, sottolineando di aver messo offline i sistemi come parte della risposta iniziale di contenimento. "Anche i volumi di vendita sono tornati ai livelli normali e siamo eternamente grati ai nostri clienti per la fiducia continua che riponete in noi."