加密公司無意間僱用北韓 IT 工人

加密貨幣公司 Truflation 的創辦人 Stefan Rust 在 2023 年時，無意間僱用了他的第一位北韓員工。Rust 表示：「我們一直在尋找優秀的開發者。」一位自稱「Ryuhei」的開發者透過 Telegram 發來了他的履歷，聲稱他居住在日本。起初，一切看似正常，但不久後，一些奇怪的矛盾之處開始浮現。

有一次，Rust 與「Ryuhei」交談時，對方提到自己剛經歷了一場地震，但當時日本並未發生任何地震。接著，這位員工開始錯過會議，當他出現時，聲音聽起來不像之前的人，甚至失去了日本口音。最終，Rust 發現「Ryuhei」和其它四名員工——占他整個團隊的三分之一以上——都是來自北韓的 IT 工人。

美國當局近來加強警告，北韓的 IT 工人正滲透科技公司，包括加密貨幣企業，並將所得資金匯回平壤，用於該國的核武計畫。根據 2024 年聯合國的一份報告，這些 IT 工人每年為金正恩政權帶來高達 6 億美元的收入。僱用並支付這些工資，即使是無意間的，也違反了聯合國的制裁，且在美國和許多其它國家都是非法的。

加密支付-FBI追蹤-非法交易 — 圖源：《CoinDesk》左圖：一名 FBI 探員（姓名已隱去）向 Zaki Manian 詢問有關其公司 Iqlusion 的兩筆區塊鏈支付的資訊。右圖：Manian 告知代理人，交易是在 Iqlusion 和多個承包商之間進行的。

北韓 IT 工人滲透加密產業，引發嚴重安全風險

根據外媒《CoinDesk》的調查揭示，北韓的求職者正積極且頻繁地針對加密貨幣公司。他們成功地通過面試、參考檢查，甚至在開源軟體庫 GitHub 上展示了令人印象深刻的程式碼貢獻歷史。《CoinDesk》與十多家加密公司進行了交談，這些公司表示，他們曾無意間僱用來自北韓的 IT 工人。

這些訪談顯示，北韓的 IT 工人在加密產業中比之前想像的要普遍得多。幾乎每位被《CoinDesk》接觸的招聘經理都承認，他們曾面試過疑似北韓的開發者、無意間僱用了他們，或認識曾這樣做的人。

知名區塊鏈開發者 Zaki Manian 表示：「整個加密產業中，你收到的求職履歷或有人要求工作、想要貢獻的人中，可能有超過 50% 來自北韓。我們都在努力篩選出這些人。」

包括 Cosmos Hub、Injective、ZeroLend、Fantom、Sushi 和 Yearn Finance 等知名區塊鏈項目，都曾無意間僱用了北韓的 IT 工人。在許多情況下，北韓的工人就像普通員工一樣工作，但《CoinDesk》發現，這些工人的工資隨後被匯入與北韓政府相關的區塊鏈地址。

加密支付-工資轉移給北韓 — 圖源：《CoinDesk》2022 年 4 月至 12 月的區塊鏈記錄顯示，「Sarawut Sanit」將其所有工資發送至與 OFAC 批准的北韓特工 Sim Hyon Sop 相關的錢包。

偽造身份、隱匿資金流向，美國當局加強警戒

這些北韓 IT 工人通常使用偽造的身份文件，聲稱來自日本、新加坡、加拿大等地。他們透過各種渠道提交求職申請，包括 Telegram、Discord、加密專用的求職網站和招聘平台。他們的護照和簽證看起來與真品無異，但專家表示，專業的背景調查服務可能會發現其中的破綻。

駭客-偽造身份-假證照 — 圖源：《CoinDesk》一名申請人將德州駕駛執照作為身分證明提交給加密貨幣公司 Truflation，該申請人目前被懷疑是北韓公民。

加密貨幣產業特別容易受到北韓 IT 工人的滲透，因為該產業的勞動力高度全球化，且公司通常願意僱用遠程甚至匿名的開發者。

MetaMask 的產品經理 Taylor Monahan 表示：「他們最容易被僱用的地方是那些剛起步的新團隊，這些團隊願意透過 Discord 僱人，沒有完善的招聘流程，通常也願意以加密貨幣支付工資。」

美國財政部的海外資產控制辦公室（OFAC）和司法部已開始公佈北韓試圖滲透美國加密產業的企圖。《CoinDesk》發現，早在 2018 年，北韓的 IT 工人就已經開始以假身份在加密公司工作。

資安風險升高，加密公司遭受駭客攻擊

除了資金流向北韓政府外，僱用北韓 IT 工人還帶來了嚴重的安全風險。《CoinDesk》的調查發現，一些曾僱用北韓 IT 工人的加密項目，後來成為駭客攻擊的受害者。在某些情況下，這些攻擊與公司薪資名單上的疑似北韓 IT 工人直接相關。

例如，知名的去中心化金融（DeFi）協議 Sushi 打造推出加密貨幣的平台 MISO 在 2021 年的一起駭客事件中損失了 300 萬美元。調查顯示，這起事件可能與 Sushi 僱用的兩名開發者 Anthony Keller 和 Sava Grujic 有關。

2021 年夏天兩位開發者被解僱後，Sushi 團隊未能撤銷他們對 MISO 程式碼庫的存取權。Grujic 以「Aristok3」網名向 MISO 平台提交了惡意程式碼，將 300 萬美元重定向到一個新的加密貨幣錢包，而從 Arkham Intelligence 的追蹤資料來看，這兩名開發者的區塊鏈支付記錄都與北韓有聯繫。

匿名開發者-北韓駭客-鏈上追蹤 — 圖源：Arkham Intelligence 兩名開發者的區塊鏈支付記錄都與北韓有聯繫

其它公司如 Fantom 也曾無意間僱用了北韓的開發者，後來發現他們試圖攻擊公司的伺服器。

美國當局已加強對這些活動的監控，警告加密公司提高警惕。僱用北韓 IT 工人不僅違反了國際制裁，還可能導致嚴重的法律後果。儘管如此，許多公司仍然選擇保持沉默，擔心公佈此事會帶來不良的公眾形象或法律責任。

北韓資助軍事計畫，全球需提高警惕

根據聯合國的報告，北韓透過駭客攻擊在過去七年中竊取了超過 30 億美元的加密貨幣。其中，一半以上的攻擊涉及北韓的 IT 工人，他們透過社交工程等手段獲取公司內部的關鍵資訊。這些 IT 工人只保留了工資的一小部分，其餘的都被北韓政府用於資助核武和彈道導彈計畫。

根據聯合國報告的內容：「支付給這些 IT 工人的錢基本上被政權剝削，他們只保留了 10% 到 30%。」

美國聯邦調查局（FBI）近期也發佈警告，稱北韓駭客正在針對加密貨幣公司員工，透過複雜的社交工程攻擊來竊取資產。這些攻擊不僅危及公司的財務安全，也可能對全球的金融穩定構成威脅。

總體而言，北韓透過滲透加密貨幣產業，成功為其軍事計畫籌集了大量資金。全球各國需要提高警惕，加強對加密產業的監管和安全措施，防止類似事件的再次發生。

延伸閱讀
幣圈被盜的 17 億都去哪了？美官員：都變成北韓的原子彈
 史上最猖獗盜幣集團？Lazarus 駭客組織是什麼？3 張圖看懂洗錢招數
 鏈上偵探發聲！日本 DMM 交易所被盜，背後全是北韓駭客搞的鬼？
印度最大交易所 WazirX 遭駭事件整理！北韓駭客疑涉案？這 2 種幣曾大跌
 Web3 戰爭打響！北韓駭客高調洗錢還假冒求職者，Tether 率先展開制裁行動

金正恩政權爽賺！北韓IT工人滲透加密公司，資金暗流助推軍事計劃