Grupo hacker norte-coreano atacou a Bitrefill, revelou a empresa

A Bitrefill publicou hoje o relatório completo do incidente ocorrido em 1º de março, quando a empresa foi alvo de um ataque cibernético que resultou na drenagem de carteiras quentes, exploração do estoque de gift cards e acesso a registros de compras de aproximadamente 18.500 clientes.

March 1st incident report

On March 1, 2026, Bitrefill was the target of a cyberattack. Based on indicators observed during the investigation – including the modus operandi, the malware used, on-chain tracing and reused IP + email addresses (!) – we find many similarities…

— Bitrefill (@bitrefill) March 17, 2026

A empresa atribui o ataque ao grupo Lazarus/Bluenoroff, da Coreia do Norte — com base em modus operandi, malware identificado, rastreamento on-chain e reutilização de IPs e endereços de email já documentados em ataques anteriores ao setor cripto.

Como o ataque aconteceu

O ponto de entrada foi um laptop comprometido de um funcionário, de onde uma credencial foi extraída. Essa credencial deu acesso a um snapshot contendo segredos de produção, e a partir daí os atacantes escalaram o acesso para partes do banco de dados e carteiras de criptomoedas da empresa.

Sovereign Pay

Your pocket Swiss bank.

Copper via PIX anonymous and receive it at Bitcoin, dollar or balance in international card.

Knowing Only 9 vacancies

O ataque foi detectado quando a equipe notou padrões suspeitos de compra junto a fornecedores: o estoque de gift cards e as linhas de fornecimento estavam sendo explorados. Simultaneamente, carteiras quentes estavam sendo esvaziadas. Ao identificar a brecha, a Bitrefill derrubou todos os sistemas como medida de contenção.

O que foi acessado

Cerca de 18.500 registros de compras foram vistos. Cada registro continha informações limitadas: endereço de email, endereço de pagamento em cripto e metadados como endereço IP. Para aproximadamente 1.000 compras, produtos específicos exigiam nome do cliente — dado armazenado criptografado, mas potencialmente acessível caso os atacantes tenham obtido as chaves de criptografia. A empresa alega já ter notificado os clientes por email. Se você não recebeu um email sobre o ocorrido, não deve estar entre os usuários afetados.

A Bitrefill afirma não ter evidências de que o banco de dados completo foi extraído, apenas que os atacantes tentaram mapear o que havia para roubar, incluindo saldo de criptomoedas e gift cards. A empresa não exige KYC obrigatório, e os dados de verificação de identidade dos clientes que optaram por verificar a conta são mantidos exclusivamente com o provedor externo de KYC, sem cópias no sistema interno, disse a Bitrefill.

A resposta

A Bitrefill trabalhou com ZeroShadow, SEAL Org, Recoveris e o pesquisador @fearsoff na investigação e contenção. A empresa afirma estar bem capitalizada e que absorverá as perdas com capital operacional. As operações já voltaram a acontecer normalmente.

O incidente é relevante além da Bitrefill. O grupo Lazarus/Bluenoroff é responsável por alguns dos maiores roubos da história do setor cripto, incluindo o hack do Ronin Bridge (US$ 620 milhões em 2022) e dezenas de ataques a exchanges, protocolos DeFi e empresas de infraestrutura.

A sofisticação do vetor de entrada — credencial extraída de laptop comprometido, escalada via snapshot de produção — é consistente com o padrão do grupo: engenharia social e exploração de credenciais antes de qualquer vulnerabilidade técnica avançada.

• See also: Eca Digital em vigor: Empresas bloqueiam acesso e brasileiros já sentem os impactos