Lazarus Group 再出手！Bitrefill 員工筆電被入侵，熱錢包資金遭盜

加密貨幣電商平台 Bitrefill 於 3 月 18 日在 X 披露，公司在 3 月 1 日遭受網路安全攻擊，攻擊手法與北韓駭客組織 Lazarus Group 的已知特徵高度吻合。駭客入侵一名員工的筆記型電腦，進而竊取公司熱錢包中的資金，並取得 18,500 筆購買記錄的存取權限。

攻擊路徑：從員工筆電橫向滲透至熱錢包

Bitrefill 的披露揭示了此次攻擊的多層滲透路徑：駭客首先以惡意軟體入侵員工設備，再以此作為跳板橫向滲透至公司熱錢包，這種「終端設備作為入口、核心資產為目標」的路徑，與 Lazarus Group 及其關聯組織 BlueNoroff Group 的已知攻擊手法吻合。

Bitrefill 指出，BlueNoroff Group 可能是此次事件的參與方，甚至可能是唯一的攻擊者。在資料存取層面，攻擊者對購買記錄資料庫進行了有限查詢，主要目的是「探測可竊取的資產，包括加密貨幣和禮品卡庫存」。Bitrefill 強調，沒有證據顯示攻擊者提取了整個資料庫，攻擊動機以財務竊取為主。

客戶影響：有限資訊外洩，服務已全面恢復

攻擊者存取了 18,500 筆購買記錄，Bitrefill 表示這可能導致「有限的客戶資訊」外洩，但並未發現大規模資料庫抽取的跡象。Bitrefill 對外宣稱：「幾乎所有服務已恢復正常——支付、庫存及帳戶，銷售量也已回歸正常水準。」

安全應對：四家資安公司介入，防禦體系全面升級

事件發生後，Bitrefill 採取了多項應對措施：

即時封堵：第一時間關閉相關系統以遏制攻擊擴散

執法通報：已聯繫相關執法部門

第三方資安合作：與 Security Alliance、FearsOff Security、Recoveris.io 及 zeroShadow 四家加密安全公司展開合作調查

系統強化：落實資安研究人員的建議，加強內部存取控制，改善監控機制以縮短偵測與回應時間

Bitrefill 表示，自事件發生以來，其網路安全措施已「顯著改進」。

Lazarus Group 背景：從 Bybit 14 億到 Bitrefill

Lazarus Group 是目前加密貨幣行業最具破壞力的威脅組織之一，與北韓政府存在密切關聯。2025 年 2 月，Lazarus Group 被指控策動了加密貨幣史上最大的單次盜竊事件，從交易所 Bybit 竊取了高達 14 億美元的加密資產，是有史以來規模最大的加密貨幣駭客攻擊。

Bitrefill 此次事件是繼 Bybit 之後，Lazarus Group 或其關聯組織被指控策動的最新攻擊，再次顯示該組織持續以加密企業員工設備為主要滲透切入點。

常見問題

Bitrefill 攻擊事件的核心手法是什麼？

攻擊發生於 3 月 1 日，駭客利用惡意軟體、鏈上追蹤及重複使用的 IP 與電子郵件基礎設施，入侵一名員工的筆記型電腦，進而取得熱錢包存取權限竊取資金，並對 18,500 筆購買記錄進行了有限查詢。

為何 Bitrefill 將此次攻擊指向 Lazarus Group？

Bitrefill 指出，攻擊所採用的手法——包括惡意軟體部署、鏈上追蹤及基礎設施重複利用——與 Lazarus Group 的已知攻擊特徵高度吻合，同時指出與 Lazarus Group 密切相關的 BlueNoroff Group 也可能是參與方或唯一攻擊者。

Bitrefill 用戶的個人資料是否已大規模外洩？

Bitrefill 表示目前沒有證據顯示攻擊者提取了整個資料庫，攻擊者僅進行有限查詢，主要目標是識別可竊取的財務資產。然而，18,500 筆購買記錄遭到存取，部分有限的客戶資訊仍存在外洩風險，建議用戶留意相關異常。