朝鲜的10万名虚假IT工作者为金每年净赚5亿美元
发布: (2026年3月18日 GMT+8 23:59)
4 分钟阅读
原文: Hacker News
Source: Hacker News
IBM X‑Force 与 Flare Research 的研究人员披露了数据,阐明了朝鲜假冒 IT 工作人员计划的运作方式以及他们如何渗透公司,将资金回流至政权并窃取敏感信息。
在一份已发布的报告《Inside the North Korean infiltrator threat》中,二者详细说明了用于管理这些行动的顶层基础设施、工作人员如何申请并获得 IT 职位,以及企业可以采用的缓解策略以避免受害。
过去几年里,朝鲜公民以远程 IT 承包商(参考链接)或在毫不知情的公司内部担任全职技术人员的威胁已逐渐浮出水面,但报告称安全专家才刚开始意识到该行动的规模与复杂程度。
行动规模
- 美国政府数据表明,这些 IT 工作人员的年收入可超过 30 万美元。
- 超过 10 万名朝鲜人 分布在 40 个国家,为平壤每年产生约 5 亿美元 的收入。
假冒 IT 工作人员生态系统
角色
| 角色 | 描述 |
|---|---|
| 招聘者 | 筛选潜在的 IT 员工,记录面试并将候选人转交给协调人。通常将工作描述为“早期隐秘创业公司”(例如 “C Digital LLC”)。 |
| 协调人 | 决定是否接受或拒绝候选人,类似于招聘经理的角色。 |
| IT 工作人员 | 实际进行开发工作。要求具备全栈 Web 应用开发、.NET 和 WordPress 的经验。 |
| 合作者 / 经纪人 | 为欺诈计划提供真实身份的西方个人,并可能在其他方面提供帮助。 |
流程
- 辅导与身份创建 – 为候选人提供美国身份并指导其申请西方公司。
- 自由职业活动 – 工时表显示在 “Bids”(在 Upwork 等平台上的每日投标)和 “Msg”(在 Upwork、LinkedIn、Freelancer 上的消息或联系)上记录的工时。
- 全职雇佣 – 一旦被录用,工作人员可能会有多个助手协助完成工作,目标是晋升并获取更高的系统访问权限。
工具
- Google Translate – 用于翻译职位描述、撰写申请以及沟通。
- OConnect / NetKey – 已知的朝鲜 VPN,可能用于连接平壤内部网络。
- IP Messenger (IPMsg) – 开源即时通讯应用,无需中心服务器,避免依赖 Discord 或 Google 等平台。
缓解策略
- 留意警示信号:伪造的背景、在在线视频面试中出现 AI 生成的面部或声音变化。
- 简历与面试不符:核实声称的语言能力、居住地和工作经历。
- 面试问题:提出荒唐的问题,例如 “金正恩有多胖?”——朝鲜参与者通常会立即挂断通话。
参考文献
- Fake North Korean IT workers sneaking into healthcare, finance, and AI
- North Korea’s Lazarus Group targets healthcare orgs with Medusa ransomware
- Ukrainian gets five years for helping North Koreans secure US tech jobs
- The one interview question that will protect you from North Korean fake workers
报告来源:“Inside the North Korean infiltrator threat”(Flare Research)。