Platform pembayaran cryptocurrency dan kartu hadiah Bitrefill telah menyalahkan kelompok peretas Lazarus yang terkait dengan Korea Utara atas serangan siber pada 1 Maret 2026, yang mengkompromikan sebagian infrastruktur dan dompet cryptocurrency-nya.

Para penyerang mendapatkan akses ke kunci produksi, mentransfer dana dari hot wallet, dan mengekspos 18.500 catatan pembelian yang berisi email, alamat pembayaran, dan alamat IP.

Sekitar 1.000 catatan termasuk nama pengguna terenkripsi. Pengguna yang terkena dampak telah diberitahu. Operasi telah dilanjutkan, dengan perusahaan mengumumkan akan menutup kerugian dari modal operasional. Insiden ini menggarisbawahi pentingnya kewaspadaan terkait keamanan crypto dan on-chain.

Modus operandi mencakup malware, pelacakan on-chain, dan penggunaan ulang alamat IP dan email dan mirip dengan serangan sebelumnya yang dikaitkan dengan Lazarus Group Korea Utara, juga dikenal sebagai Bluenoroff, kata perusahaan dalam laporan rinci di X.

Lazarus Group sebelumnya telah menargetkan proyek crypto termasuk Ronin Network, Harmony's Horizon Bridge, WazirX, dan Atomic Wallet.

Bagaimana serangan terjadi

Semuanya dimulai dengan laptop karyawan yang dikompromikan, yang mengekspos kredensial lama dan memungkinkan penyerang mengakses infrastruktur Bitrefill yang lebih luas, termasuk bagian dari database dan dompet cryptocurrency-nya.

Pelanggaran dengan cepat menjadi jelas ketika perusahaan memperhatikan pola pembelian yang tidak biasa di antara pemasok tertentu, menandakan bahwa penyerang mengeksploitasi inventaris kartu hadiah dan rantai pasokannya. Perusahaan juga mencatat bahwa penyerang menguras beberapa hot wallet dan memindahkan dana ke alamat mereka sendiri, setelah itu, sistem dimatikan untuk menahan kerusakan.

"Bitrefill mengoperasikan bisnis e-commerce global dengan puluhan pemasok, ribuan produk, dan berbagai metode pembayaran di banyak negara. Mematikan semua hal ini dengan aman dan membawanya kembali online tidaklah mudah," kata perusahaan dalam sebuah pernyataan.

Sejak insiden tersebut, Bitrefill telah bekerja dengan peneliti keamanan, tim respons insiden, analis on-chain, dan penegak hukum untuk menyelidiki pelanggaran.

Dampak data pelanggan

Peretas mengakses sekelompok kecil catatan pembelian, sekitar 18.500, yang berisi

Bitrefill mengatakan tidak ada bukti bahwa data pelanggan adalah target utama. Log-nya menunjukkan bahwa penyerang menjalankan sejumlah kueri terbatas yang ditujukan pada kepemilikan cryptocurrency dan inventaris kartu hadiah daripada mengekstrak seluruh database.

Platform menyimpan data pribadi minimal dan tidak memerlukan KYC wajib. Subset kecil dari catatan pembelian, sekitar 18.500, diakses, berisi informasi seperti alamat email, alamat pembayaran crypto, dan metadata termasuk alamat IP. Sekitar 1.000 catatan berisi nama terenkripsi untuk produk tertentu; perusahaan memperlakukan data ini sebagai berpotensi dikompromikan dan telah memberitahu pelanggan yang terkena dampak secara langsung melalui email.

Saat ini, Bitrefill tidak percaya pelanggan perlu mengambil tindakan tambahan, meskipun menyarankan kehati-hatian terkait komunikasi tak terduga yang berkaitan dengan Bitrefill atau cryptocurrency.

Langkah untuk memperkuat keamanan

Sebagai tanggapan atas pelanggaran, Bitrefill mengatakan telah memperkuat praktik keamanan sibernya dan bekerja untuk menarik pelajaran dari insiden tersebut.

Perusahaan menguraikan beberapa langkah, termasuk melakukan tes penetrasi komprehensif dengan ahli eksternal, memperketat kontrol akses internal, meningkatkan pencatatan dan pemantauan untuk deteksi ancaman yang lebih cepat, dan menyempurnakan prosedur respons insiden dan protokol penutupan otomatis.

Melihat ke depan

Bitrefill mengakui bahwa ini adalah serangan besar pertamanya dalam lebih dari satu dekade operasi tetapi menekankan bahwa perusahaan tetap didanai dengan baik dan menguntungkan, mampu menyerap kerugian operasional. Sebagian besar sistem, termasuk pembayaran, stok, dan akun, kembali online, dengan volume penjualan kembali normal.

"Terkena serangan canggih sangat menyebalkan (sekali)," kata perusahaan. "Tapi kami selamat. Kami akan terus melakukan yang terbaik untuk terus pantas mendapat kepercayaan pelanggan kami."