2023年,加密货币公司Truflation仍处于起步阶段,当时创办人StefanRust在不知情的情况下雇用了第一位北韩员工。「我们一直在寻找优秀的开发人员,」Rust在瑞士家中说道。出乎意料的是,「这个开发人员遇到了我们。」发现有十多家加密货币公司在不知情的情况下雇用了来自北韩的IT工程师,其中包括Injective、ZeroLend、Fantom、Sushi、YearnFinance和CosmosHub等知名区块链项目。这些员工使用假身分证,成功通过面试,通过了资历检查,并提供了真实的工作经验。在美国和其他制裁北韩的国家,雇用北韩员工是违法的。这也带来了安全风险,发现多家公司雇用北韩IT员工后遭到骇客攻击。著名区块链开发者ZakiManian表示:「每个人都在努力筛选掉这些人。」他表示,他在2021年无意中雇用了两名北韩IT工程师来帮助开发CosmosHub区块链。「Ryuhei」透过Telegram发送了履历,声称自己在日本工作。他被录用后不久,奇怪的矛盾就开始浮现有一次,「我和那个人通话,他说他遇到了地震,」拉斯特回忆道。但日本最近并没有发生地震。然后,这名员工开始漏接电话,当他出现时,「不是他,这是其他人」,拉斯特说。不管是谁,都去掉了日语口音。Rust很快就得知「Ryuhei」和其他四名员工(占其团队人数的三分之一以上)都是北韩人。Rust无意中落入了北韩的一项有组织的阴谋,该计划旨在为其员工提供远端海外工作,并将收入汇回平壤。美国当局最近加强了警告,称北韩的IT工程师正在渗透科技公司,包括加密货币雇主,并利用所得资金资助这个国家的核武计划。根据2024年联合国的报告,这些IT工程师每年为北韩赚取高达6亿美元的收入。雇用和支付员工的薪资,即使是无意的,也违反了联合国的制裁,在美国和许多其他国家都是非法的。这也带来了严重的安全风险,因为众所周知,北韩骇客会透过秘密雇用员工来攻击公司。一项调查揭示了北韩求职者针对加密货币公司的积极性和频率,成功通过面试、通过背景调查,甚至在开源软体储存库GitHub上展示了令人印象深刻的程式码贡献历史。采访了十多家加密货币公司,这些公司表示,他们不经意雇用了来自北韩的IT工程师。这些对创始人、区块链研究人员和行业专家的采访表明,北韩IT工程师在加密行业中比之前想像的要普遍得多。本文访谈的几乎每位招募经理都承认,他们曾经面试过疑似北韩开发者,在不知情的情况下雇用了他们,或是认识有人这样做过。著名区块链开发者ZakiManian表示:「在整个加密产业中,来自北韩的履历、求职者或贡献者的比例可能超过50%。」他表示,自己在2021年无意中雇用了两名北韩IT员工来帮助开发CosmosHub区块链。「每个人都在努力筛选掉这些人。」发现的不知情的北韩雇主中包括几个知名的区块链项目,例如CosmosHub、Injective、ZeroLend、Fantom、Sushi和YearnFinance。「这一切都是在幕后发生的,」Manian说。此次调查是这些公司首次公开承认无意中雇用了北韩IT员工。在许多情况下,北韩员工的工作方式与普通员工一样;因此,从某种意义上说,雇主基本上得到了他们所支付的报酬的交付物。这些员工随后将薪资汇入与北韩政府相关的区块链地址。的调查也揭露了几起雇用北韩IT员工的加密项目后来遭到骇客攻击的案例。在其中一些案例中,能够将窃盗直接与公司薪资单上的疑似北韩IT员工联系起来。Sushi就是这种情况,Sushi是一个著名的DeFi协议,在2021年的一次骇客事件中损失了300万美元。美国财政部外国资产管制办公室(OFAC)和司法部于2022年开始公布北韩试图渗透美国加密货币产业。发现的证据表明,北韩IT工程师早在那之前就开始以虚假身分在加密货币公司工作,至少早在2018年。「我认为,很多人误以为这是突然发生的事情,」Manian说。
「这些人的GitHub帐户和其他东西可以追溯到2016年、2017年、2018年。」(GitHub归微软所有,是许多软体用来托管程式码并允许开发人员协作的线上平台。)使用各种方法将北韩IT工程师与公司联系起来,包括区块链支付记录、公开的GitHub程式码贡献、美国政府官员的电子邮件以及直接对目标公司的采访。调查的北韩最大的支付网路之一是由区块链调查员ZachXBT发现的,他在8月发布了一份疑似北韩开发者名单。此前,雇主们因为担心不必要的曝光或法律后果而保持沉默。现在,面对挖掘出的大量付款记录和其他证据,他们中的许多人决定站出来,首次分享自己的故事,揭露北韩渗透加密货币行业的巨大成功和规模。伪造文件在雇用了这位表面上是日本员工的Ryuhei之后,Rust的Truflation收到了大量新申请。短短几个月内,Rust又不知不觉地雇用了四名北韩开发人员,他们自称分别驻扎在蒙特娄、温哥华、休士顿和新加坡。加密产业特别容易受到北韩IT工程师的破坏。加密产业的劳动力分布非常全球化,与其他公司相比,加密公司往往更愿意雇用完全远端(甚至是匿名)的开发人员。查看了加密货币公司从各种来源收到的北韩工作申请,包括Telegram和Discord等讯息平台、CryptoJobsList等加密货币专用求职板以及Indeed等招聘网站。「他们最有可能被雇用的地方是那些真正新鲜的,新崛起的团队,他们愿意从Discord中雇佣,」加密钱包应用MetaMask的产品经理TaylorMonahan表示,他经常发布与北韩加密活动相关的安全研究。「他们没有制定流程来雇用经过背景调查的人。他们很多时候都愿意用加密货币支付。」Rust表示,他对Truflation所有新员工都进行了背景调查。「他们给我们寄了护照和身份证,给了我们GitHub代码库,进行了测试,然后基本上我们就聘用了他们。」在外行人看来,大多数伪造的文件与真正的护照和签证难以区分,但专家告诉,专业的背景调查服务很可能会发现这些伪造的文件。尽管新创公司不太可能使用专业背景调查人员,但「我们确实在大公司看到北韩IT工作人员,要么是真正的员工,要么至少是外包人员,」Monahan说。隐藏在众目睽睽之下在许多情况下,发现北韩公司的IT工程师使用公开的区块链数据。2021年,区块链开发人员Manian的公司Iqlusion需要一些帮助。他寻找自由程式设计师,他们可能会帮助完成一个升级流行的CosmosHub区块链的项目。他找到了两位新员工;他们表现出色。Manian从未亲自见过自由工作者「JunKai」和「SarawutSanit」。他们之前曾合作过一个由密切关联的区块链网路THORChain资助的开源软体项目,他们告诉Manian他们在新加坡。「一年来,我几乎每天都和他们交谈,」Manian说。「他们完成了工作。坦率地说,我非常满意。」在这些自由工作者完成工作两年后,Manian收到了一封FBI特工的电子邮件,该特工正在调查似乎来自Iqlusion的代币转账,这些转账被转移到疑似北韩加密钱包地址。涉案转帐原来是Iqlusion向Kai和Sanit支付的款项。FBI从未向Manian证实他签约的开发人员是北韩特工,但对Kai和Sanit的区块链地址的审查显示,在2021年和2022年期间,他们将收入汇给了OFAC制裁名单上的两个人:KimSangMan和SimHyonSop。据OFAC称,Sim是北韩光鲜银行的代表,该银行对IT工程师资金进行洗钱,以帮助「资助北韩的大规模杀伤性武器和弹道飞弹计划」。Sarawut似乎已将其所有收入汇入Sim和其他与Sim关联的区块链钱包。同时,Kai直接向Kim汇款近800万美元。根据2023年OFAC咨询报告,Kim是北韩运营的Chinyong资讯技术合作公司的代表,该公司「通过其控制的公司及其代表,雇用了在俄罗斯和老挝工作的北韩IT工程师代表团。」Iqlusion给Kai的薪资只占他给Kim的近800万美元中的不到5万美元,其余资金部分来自其他加密货币公司。例如,发现,开发广泛使用的Fantom区块链的Fantom基金会向「JunKai」和另一位与北韩相关的开发者支付了款项。Fantom基金会的发言人告诉:「Fantom确实确认有两名外部人员在2021年与北韩有牵连。然而,涉事开发人员参与了一个从未完成且从未部署过的外部项目。
」据Fantom基金会称,「涉事的两名员工已被解雇,他们从未贡献过任何恶意程式码,也从未访问过Fantom的程式码库,Fantom的用户也没有受到影响。」发言人表示,一名北韩员工曾试图攻击Fantom的伺服器,但由于缺乏必要的存取权限而失败。根据OpenSanctions资料库,Kim的与北韩有关的区块链地址直到2023年5月才被政府公布,这距离Iqlusion和Fantom付款已经过去了两年多。给予回旋余地美国和联合国分别于2016年和2017年对雇用北韩IT员工实施了制裁。无论你是否知情,向在美国的北韩员工支付薪资都是违法的,这个法律概念被称为「严格责任」。公司所在地也并不重要:对于在对北韩实施制裁的国家开展业务的任何公司来说,雇用北韩员工都会带来法律风险。然而,美国和其他联合国成员国尚未起诉雇用北韩IT员工的加密公司。美国财政部对总部位于美国的Iqlusion展开了调查,但Manian表示调查结束时并未对其采取任何处罚措施。美国当局对于对这些公司提起指控一直很宽容,某种程度上承认,这些公司最好的情况下是遭遇了一种异常复杂和老练的身份欺诈,或者在最坏的情况下,遭遇了一种最令人羞辱的长期骗局。除了法律风险之外,MetaMask的Monahan解释道,向北韩IT工程师支付薪资也是「不好的,因为你支付薪资的人基本上是被政权剥削的人」。根据联合国安理会长达615页的报告,北韩IT工程师只能保留薪资的一小部分。报告指出,「低收入者保留10%,而高收入者可以保留30%」。虽然这些薪资相对于北韩的平均水平来说可能仍然很高,但「我不在乎他们住在哪里,」Monahan说。「如果我付钱给某人,而他们却被迫将全部薪水寄给他们的老板,那会让我感到非常不舒服。如果他们的老板是北韩政权,那我会更不舒服。」在通报过程中联系了多名疑似来自北韩的IT工作人员,但尚未得到回应。未来透过分析OFAC制裁实体的区块链支付记录,确定了20多家可能雇用北韩IT工程师的公司。12家提交了相关记录的公司向证实,他们之前曾在薪资单上发现疑似北韩IT工程师。有些人因担心法律后果而拒绝进一步评论,但其他人同意分享他们的故事,希望其他人可以从他们的经历中学习。在许多情况下,北韩员工在被雇用后就更容易被识别。DeFi项目Injective的执行长EricChen表示,他在2020年与一名自由开发人员签约,但很快就因表现不佳而解雇了他。「他没做多久,」Chen说。「他写的程式码很差劲,效果也不好。」直到去年,当美国一家「政府机构」联系Injective时,Chen才知道这名员工与北韩有联系。几家公司告诉,他们在得知一名员工与北韩有任何联系之前就解雇了该员工——理由是工作品质不达标。「几个月的薪资单」不过,北韩IT工程师与典型的开发人员类似,其能力也各有不同。Manian说一方面,你会有一些员工「来到公司,通过面试,就赚了几个月的薪资」,「还有一方面,当你面试这些人时,你会发现他们的技术能力真的很强」。Rust回忆说,在Truflation时曾遇到过「一位非常优秀的开发人员」,他自称来自温哥华,但后来发现他来自北韩。「他真的是一个年轻人,」Rust说。「感觉他刚从大学毕业。有点青涩,非常热衷,对能有机会工作感到非常兴奋。」另一个例子是,DeFi新创公司Cluster在ZachXBT提供证据表明两名开发人员与北韩有联系后,于8月解雇了两名开发人员。Cluster的匿名创始人z3n告诉:「这些人知道的东西真的太多了,真是令人难以置信。」回想起来,有一些「明显的危险讯号」。例如,他们每两周就会更改付款地址,每个月左右就会更改Discord名称或Telegram名称。网路摄影机关闭在与的对话中,许多雇主表示,当他们得知自己的员工可能是北韩人时,他们注意到了一些异常情况,这更有意义了。有时这些暗示很微妙,例如员工的工作时间与其应有的工作地点不符。Truflation等其他雇主注意到,员工可能由多人假扮成一个人,员工会透过关闭网路摄影机来隐藏这种情况。
(他们几乎都是男性)。一家公司雇用了一名员工,她早上参加会议,但似乎会忘记当天晚些时候讨论的所有事情,而她之前明明已经和很多人交谈过,这一怪癖就更有意义了。当Rust向一位有追踪犯罪支付网络经验的投资者表达他对「日本」员工Ryuhei的担忧时,这位投资者很快就确定了Truflation薪资单上的另外四名疑似来自北韩的IT工程师。「我们立即切断了联系,」Rust表示,并补充说他的团队对其程式码进行了安全审核,增强了背景检查流程并更改了某些政策。其中一项新政策是要求远端工作人员打开摄影机。价值300万美元的骇客攻击咨询的许多雇主都错误地认为北韩IT工程师是独立于北韩的骇客部门运作,但区块链数据和与专家的对话表明,北韩的骇客活动和IT工程师经常联系在一起。2021年9月,Sushi建立的发行加密代币的平台MISO在一次被盗事件中损失了300万美元。发现证据表明,这次攻击与Sushi雇用两名开发人员有关,这些开发人员的区块链支付记录与北韩有关。骇客攻击发生时,Sushi是新兴DeFi领域最受关注的平台之一。SushiSwap已存入超过50亿美元,该平台主要充当「去中心化交易所」,供人们在没有中介的情况下交易加密货币。当时Sushi的技术长JosephDelong将MISO窃案追溯到两名参与开发该平台的自由开发人员:他们使用了AnthonyKeller和SavaGrujic的名字。Delong表示,这些开发人员(他现在怀疑是同一个人或同一个组织)向MISO平台注入了恶意程式码,将资金转移到他们控制的钱包中。当Keller和Grujic受雇于管理Sushi协议的去中心化自治组织SushiDAO时,他们提供了对于入门级开发人员来说足够典型甚至令人印象深刻的凭证。Keller在公众面前使用化名「eratos1122」,但当他申请MISO工作时,他使用了看似是他真名的名字「AnthonyKeller」。在Delong与分享的履历中,凯勒声称自己居住在乔治亚州盖恩斯维尔,毕业于凤凰城大学,获得电脑工程学士学位。(该大学没有回应是否有同名毕业生的请求。)Keller的履历中确实提到了先前的工作。其中最令人印象深刻的是YearnFinance,这是一个非常受欢迎的加密投资协议,它为用户提供了一种透过一系列投资策略赚取利息的方式。Yearn的核心开发人员Banteg证实,Keller曾参与开发Coordinape,这是一个由Yearn开发的应用程序,旨在帮助团队协作和促进支付。(Banteg,说,Keller的工作仅限于Coordinape,他无法存取Yearn的核心程式码库。)据Delong称,Keller将Grujic介绍给MISO,两人自称是「朋友」。与Keller一样,Grujic提供的履历上写的是他的真实姓名,而不是他的网路笔名「AristoK3」。他自称来自塞尔维亚,毕业于贝尔格莱德大学,拥有电脑科学学士学位。他的GitHub帐户很活跃,履历表上列出了他在几个较小的加密项目和游戏新创公司的工作经验。RachelChu是Sushi的前核心开发人员,在窃盗事件发生前曾与Keller和Grujic密切合作,她表示在骇客攻击发生之前她已经对这两人产生了「怀疑」。尽管两人相距甚远,但Grujic和Keller「口音相同」且「发短信的方式相同」,Chu说。「每次我们通话时,他们都会有一些背景噪音,就像在工厂里一样,」她补充道。Chu回忆说,她见过Keller的脸,但从未见过Grujic的脸。据Chu说,Keller的相机「放大」了,所以她根本看不清楚他身后是什么。Grujic和Keller最终在同一时间停止了对MISO的贡献。「我们认为他俩是同一个人,」Delong说,「所以我们停止向他们付钱。」当时正值新冠疫情最严重时期,远端开发者一人分饰多角从薪资单中赚取额外收入的情况并不罕见。在Grujic和Keller于2021年夏天被解雇后,Sushi团队忽视了撤销他们对MISO程式码库的存取权。Grujic以他的「Aristok3」网名向MISO平台提交了恶意程式码,将300万美元转移到一个新的加密货币钱包。对区块链支付记录的分析表明,Grujic、Keller和北韩之间可能存在关联。2021年3月,Keller在一则现已删除的推文中发布了一个区块链地址。发现,该地址、Grujic的骇客地址和Sushi存档的Keller地址之间存在多笔付款。据Delong称,Sushi的内部调查最终得出结论,该地址属于Keller。
发现,该地址将大部分资金发送给了「JunKai」(Iqlusion开发者,他向OFAC制裁的KimSangMan汇款)和另一个看似充当北韩代理的钱包(因为它也向Kim支付了费用)。Sushi的内部调查发现,Keller和Grujic经常使用俄罗斯的IP位址进行操作,这进一步证实了他们是北韩人的说法。OFAC称,北韩的IT工程师有时就驻扎在俄罗斯。(Keller简历上的美国电话号码已停用,他的「eratos1122」Github和Twitter帐户也已被删除。)此外,Sushi在雇用Keller和Grujic的同时还雇用了另一名疑似北韩IT外包人员。ZachXBT称这名开发人员为「GaryLee」,他使用化名LightFury进行编码,并将收入汇给「JunKai」和另一个与Kim关联的代理地址。在Sushi公开将攻击归咎于Keller的假名「eratos1122」并威胁要让FBI介入后,Grujic归还了被盗资金。虽然北韩IT工程师会关心保护假身分似乎有悖常理,但北韩IT工程师似乎会重复使用某些名字,并透过为许多项目做出贡献来建立自己的声誉,或许是为了赢得未来雇主的信任。有人可能认为,从长远来看,保护AnthonyKeller这个别名更有利可图:2023年,即Sushi事件发生两年后,一个名叫「AnthonyKeller」的人向StefanRust的公司Truflation提出了申请。北韩式抢劫据联合国称,过去七年来,北韩透过骇客攻击窃取了超过30亿美元的加密货币。区块链分析公司Chainalysis在2023年上半年追踪到的骇客攻击中,有15起与北韩有关,「其中约有一半涉及IT工程师相关的盗窃」,该公司发言人MadeleineKennedy表示。北韩的网路攻击不像好莱坞版的骇客攻击,穿著连帽衫的程式设计师利用复杂的电脑程式码和黑绿色的电脑终端入侵大型主机。北韩式的攻击显然技术含量较低。它们通常涉及某种形式的社会工程学,攻击者赢得持有系统金钥的受害者的信任,然后透过恶意电子邮件连结等简单方式直接提取这些金钥。Monahan说:「到目前为止,我们从未见过北韩实施真正的攻击。他们总是先进行社会工程攻击,然后入侵设备,最后窃取私钥」。IT工程师很适合为北韩的抢劫活动做出贡献,他们要么获取可用于破坏潜在目标的个人资讯,要么直接访问充斥著数位现金的软体系统。一系列巧合在本文即将发表之际,安排与Truflation的Rust进行视讯通话。计划是核实他之前分享的一些细节。慌乱的Rust迟到了15分钟才加入通话。他刚刚被骇客入侵了。联系了20多个似乎不自觉雇用了北韩IT工程师的项目。仅在采访的最后两周,其中两个项目就遭到骇客攻击:Truflation和一款名为DeltaPrime的加密货币借贷应用程式。目前判断这两起骇客事件是否与北韩IT工程师有直接联系还为时过早。DeltaPrime首次遭到入侵。先前发现了DeltaPrime与NaokiMurano之间的付款和代码贡献,NaokiMurano是匿名区块链侦探ZachXBT宣传的与北韩有关的开发人员之一。该项目损失了700多万美元,官方解释是因为「私钥泄露」。DeltaPrime没有回应多次置评请求。不到两周后,Truflation骇客攻击事件也随之而来。在与通话前大约两小时,Rust注意到他的加密钱包中资金流出。他刚从新加坡出差回来,正在努力弄清楚自己做错了什么。「我就是不知道事情是怎么发生的,」他说。「我把我的笔电都锁在饭店墙上的保险箱里。我一直带著手机。」就在Rust发表演说时,数百万美元正从他的个人区块链钱包中流出,「我的意思是,这真的很糟糕。这些钱是我孩子的学费和养老金」。Truflation和Rust最终损失了约500万美元。官方认定损失的原因是私钥被盗。
