Bitrefill披露2026年3月重大安全事件：关联朝鲜黑客组织

2026年3月，全球数字支付服务商Bitrefill遭遇严重网络安全事件，其基础设施被外部威胁实体渗透。根据技术分析，此次攻击行为与朝鲜支持的黑客团体Lazarus集团存在高度关联，攻击路径基于特定恶意软件特征及重复使用的网络标识。

攻击路径与关键节点暴露

事件起源于一台受感染的员工笔记本电脑，攻击者从中提取了已过期但未注销的访问凭证。该凭证未触发常规安全警报，却允许其进入存储生产环境敏感信息的系统快照。随后，攻击者利用这些信息横向移动，逐步获取对核心数据库和部分加密货币热钱包的控制权限。

在成功突破后，攻击者实施了资金转移操作，将多个热钱包中的资产转入由其掌控的钱包地址。整个过程持续数日，直到平台检测到异常交易模式并启动应急响应机制。

入侵发现与紧急处置流程

Bitrefill团队在监测到多个供应商账户出现非正常购买行为后，迅速展开排查。调查发现礼品卡库存被大规模调用，同时多个热钱包正在实时出金。基于此，公司于2026年3月1日立即切断全部在线服务，执行全系统离线隔离。

为恢复服务，公司协调数十家第三方支付渠道与供应链伙伴，进行多轮验证与接口重建。期间，安全团队联合多家专业机构开展深度溯源分析，确认攻击所用工具链、链上行为模式及源IP地址均与已知的Lazarus活动轨迹一致。

用户数据影响范围与防护建议

调查显示，攻击者主要聚焦于交易流水与资产流动数据，而非用户身份核心信息。尽管如此，约18,500笔交易记录仍被访问，包含电子邮件、加密货币地址及连接时的IP元数据。

对于约1,000笔交易中以加密形式保存的姓名字段，由于攻击者可能已获取解密密钥，公司将其视为已泄露状态。为此，所有受影响客户均已通过邮件收到直接通知。

Bitrefill提醒用户保持警惕，注意识别冒充平台的钓鱼通讯。若后续评估显示风险升级，将及时更新通知。在整个事件处理过程中，透明沟通被列为首要原则。

公司强调，本次事件造成的财务损失已由内部运营资金全额覆盖，未影响正常业务运转。自恢复以来，支付处理量与服务可用性均已回归常态，且连续多年盈利纪录未受影响。