北韩如何渗透币圈？十多家公司不经意雇用到北韩IT工程师

2023年，加密货币公司 Truflation 仍处于起步阶段，当时创办人 Stefan Rust 在不知情的情况下雇用了第一位北韩员工。「我们一直在寻找优秀的开发人员，」Rust 在瑞士家中说道。出乎意料的是，「这个开发人员遇到了我们。」

• 发现有十多家加密货币公司在不知情的情况下雇用了来自北韩的IT工程师，其中包括 Injective 、 ZeroLend 、 Fantom 、 Sushi 、 Yearn Finance 和 Cosmos Hub 等知名区块链项目。
• 这些员工使用假身分证，成功通过面试，通过了资历检查，并提供了真实的工作经验。
• 在美国和其他制裁北韩的国家，雇用北韩员工是违法的。这也带来了安全风险， 发现多家公司雇用北韩IT员工后遭到骇客攻击。
• 著名区块链开发者 Zaki Manian 表示：「每个人都在努力筛选掉这些人。」他表示，他在 2021年无意中雇用了两名北韩IT工程师来帮助开发 Cosmos Hub 区块链。

「Ryuhei」透过 Telegram 发送了履历，声称自己在日本工作。他被录用后不久，奇怪的矛盾就开始浮现有一次，「我和那个人通话，他说他遇到了地震，」拉斯特回忆道。但日本最近并没有发生地震。然后，这名员工开始漏接电话，当他出现时，「不是他，这是其他人」，拉斯特说。不管是谁，都去掉了日语口音。

Rust 很快就得知「Ryuhei」和其他四名员工（占其团队人数的三分之一以上）都是北韩人。 Rust 无意中落入了北韩的一项有组织的阴谋，该计划旨在为其员工提供远端海外工作，并将收入汇回平壤。

美国当局最近加强了警告，称北韩的IT工程师正在渗透科技公司，包括加密货币雇主，并利用所得资金资助这个国家的核武计划。根据 2024年联合国的报告，这些IT工程师每年为北韩赚取高达 6亿美元的收入。

雇用和支付员工的薪资，即使是无意的，也违反了联合国的制裁，在美国和许多其他国家都是非法的。这也带来了严重的安全风险，因为众所周知，北韩骇客会透过秘密雇用员工来攻击公司。一项调查揭示了北韩求职者针对加密货币公司的积极性和频率， 成功通过面试、通过背景调查，甚至在开源软体储存库 GitHub 上展示了令人印象深刻的程式码贡献历史。

采访了十多家加密货币公司，这些公司表示，他们不经意雇用了来自北韩的IT工程师。这些对创始人、区块链研究人员和行业专家的采访表明，北韩IT工程师在加密行业中比之前想像的要普遍得多。本文访谈的几乎每位招募经理都承认，他们曾经面试过疑似北韩开发者，在不知情的情况下雇用了他们，或是认识有人这样做过。

著名区块链开发者 Zaki Manian 表示：「在整个加密产业中，来自北韩的履历、求职者或贡献者的比例可能超过 50% 。」​​他表示，自己在 2021年无意中雇用了两名北韩IT员工来帮助开发 Cosmos Hub 区块链。「每个人都在努力筛选掉这些人。」

发现的不知情的北韩雇主中包括几个知名的区块链项目，例如 Cosmos Hub 、 Injective 、 ZeroLend 、 Fantom 、 Sushi 和 Yearn Finance 。「这一切都是在幕后发生的，」Manian 说。

此次调查是这些公司首次公开承认无意中雇用了北韩IT员工。在许多情况下，北韩员工的工作方式与普通员工一样；因此，从某种意义上说，雇主基本上得到了他们所支付的报酬的交付物。这些员工随后将薪资汇入与北韩政府相关的区块链地址。

的调查也揭露了几起雇用北韩IT员工的加密项目后来遭到骇客攻击的案例。在其中一些案例中，能够将窃盗直接与公司薪资单上的疑似北韩IT员工联系起来。 Sushi 就是这种情况，Sushi 是一个著名的 DeFi 协议，在 2021年的一次骇客事件中损失了 300万美元。

美国财政部外国资产管制办公室 (OFAC) 和司法部于 2022年开始公布北韩试图渗透美国加密货币产业。 发现的证据表明，北韩IT工程师早在那之前就开始以虚假身分在加密货币公司工作，至少早在 2018年。

「我认为，很多人误以为这是突然发生的事情，」Manian 说。「这些人的 GitHub 帐户和其他东西可以追溯到 2016年、 2017年、 2018年。」（GitHub 归微软所有，是许多软体用来托管程式码并允许开发人员协作的线上平台。）

使用各种方法将北韩IT工程师与公司联系起来，包括区块链支付记录、公开的 GitHub 程式码贡献、美国政府官员的电子邮件以及直接对目标公司的采访。 调查的北韩最大的支付网路之一是由区块链调查员 ZachXBT 发现的，他在 8月发布了一份疑似北韩开发者名单。

此前，雇主们因为担心不必要的曝光或法律后果而保持沉默。现在，面对 挖掘出的大量付款记录和其他证据，他们中的许多人决定站出来，首次分享自己的故事，揭露北韩渗透加密货币行业的巨大成功和规模。

伪造文件

在雇用了这位表面上是日本员工的 Ryuhei 之后，Rust 的 Truflation 收到了大量新申请。短短几个月内，Rust 又不知不觉地雇用了四名北韩开发人员，他们自称分别驻扎在蒙特娄、温哥华、休士顿和新加坡。

加密产业特别容易受到北韩IT工程师的破坏。加密产业的劳动力分布非常全球化，与其他公司相比，加密公司往往更愿意雇用完全远端（甚至是匿名）的开发人员。查看了加密货币公司从各种来源收到的北韩工作申请，包括 Telegram 和 Discord 等讯息平台、 Crypto Jobs List 等加密货币专用求职板以及 Indeed 等招聘网站。

「他们最有可能被雇用的地方是那些真正新鲜的，新崛起的团队，他们愿意从 Discord 中雇佣，」加密钱包应用 MetaMask 的产品经理 Taylor Monahan 表示，他经常发布与北韩加密活动相关的安全研究。「他们没有制定流程来雇用经过背景调查的人。他们很多时候都愿意用加密货币支付。」

Rust 表示，他对 Truflation 所有新员工都进行了背景调查。「他们给我们寄了护照和身份证，给了我们 GitHub 代码库，进行了测试，然后基​​本上我们就聘用了他们。」

在外行人看来，大多数伪造的文件与真正的护照和签证难以区分，但专家告诉 ，专业的背景调查服务很可能会发现这些伪造的文件。

尽管新创公司不太可能使用专业背景调查人员，但「我们确实在大公司看到北韩IT工作人员，要么是真正的员工，要么至少是外包人员，」Monahan 说。

隐藏在众目睽睽之下

在许多情况下， 发现北韩公司的IT工程师使用公开的区块链数据。2021年，区块链开发人员 Manian 的公司 Iqlusion 需要一些帮助。他寻找自由程式设计师，他们可能会帮助完成一个升级流行的 Cosmos Hub 区块链的项目。他找到了两位新员工；他们表现出色。

Manian 从未亲自见过自由工作者「Jun Kai」和「Sarawut Sanit」。他们之前曾合作过一个由密切关联的区块链网路 THORChain 资助的开源软体项目，他们告诉 Manian 他们在新加坡。「一年来，我几乎每天都和他们交谈，」Manian 说。「他们完成了工作。坦率地说，我非常满意。」

在这些自由工作者完成工作两年后，Manian 收到了一封 FBI 特工的电子邮件，该特工正在调查似乎来自 Iqlusion 的代币转账，这些转账被转移到疑似北韩加密钱包地址。涉案转帐原来是 Iqlusion 向 Kai 和 Sanit 支付的款项。

FBI 从未向 Manian 证实他签约的开发人员是北韩特工，但 对 Kai 和 Sanit 的区块链地址的审查显示，在 2021年和 2022年期间，他们将收入汇给了 OFAC 制裁名单上的两个人：Kim Sang Man 和 Sim Hyon Sop 。

据 OFAC 称，Sim 是北韩光鲜银行的代表，该银行对IT工程师资金进行洗钱，以帮助「资助北韩的大规模杀伤性武器和弹道飞弹计划」。 Sarawut 似乎已将其所有收入汇入 Sim 和其他与 Sim 关联的区块链钱包。

同时，Kai 直接向 Kim 汇款近 800万美元。根据 2023年 OFAC 咨询报告，Kim 是北韩运营的 Chinyong 资讯技术合作公司的代表，该公司「通过其控制的公司及其代表，雇用了在俄罗斯和老挝工作的北韩IT工程师代表团。」

Iqlusion 给 Kai 的薪资只占他给 Kim 的近 800万美元中的不到 5万美元，其余资金部分来自其他加密货币公司。

例如， 发现，开发广泛使用的 Fantom 区块链的 Fantom 基金会向「Jun Kai」和另一位与北韩相关的开发者支付了款项。

Fantom 基金会的发言人告诉 ：「Fantom 确实确认有两名外部人员在 2021年与北韩有牵连。然而，涉事开发人员参与了一个从未完成且从未部署过的外部项目。」

据 Fantom 基金会称，「涉事的两名员工已被解雇，他们从未贡献过任何恶意程式码，也从未访问过 Fantom 的程式码库，Fantom 的用户也没有受到影响。」发言人表示，一名北韩员工曾试图攻击 Fantom 的伺服器，但由于缺乏必要的存取权限而失败。

根据 OpenSanctions 资料库，Kim 的与北韩有关的区块链地址直到 2023年 5月才被政府公布，这距离 Iqlusion 和 Fantom 付款已经过去了两年多。

给予回旋余地

美国和联合国分别于 2016年和 2017年对雇用北韩IT员工实施了制裁。无论你是否知情，向在美国的北韩员工支付薪资都是违法的，这个法律概念被称为「严格责任」。

公司所在地也并不重要：对于在对北韩实施制裁的国家开展业务的任何公司来说，雇用北韩员工都会带来法律风险。然而，美国和其他联合国成员国尚未起诉雇用北韩IT员工的加密公司。

美国财政部对总部位于美国的 Iqlusion 展开了调查，但 Manian 表示调查结束时并未对其采取任何处罚措施。美国当局对于对这些公司提起指控一直很宽容，某种程度上承认，这些公司最好的情况下是遭遇了一种异常复杂和老练的身份欺诈，或者在最坏的情况下，遭遇了一种最令人羞辱的长期骗局。

除了法律风险之外，MetaMask 的 Monahan 解释道，向北韩IT工程师支付薪资也是「不好的，因为你支付薪资的人基本上是被政权剥削的人」。根据联合国安理会长达 615 页的报告，北韩IT工程师只能保留薪资的一小部分。报告指出，「低收入者保留 10%，而高收入者可以保留 30%」。

虽然这些薪资相对于北韩的平均水平来说可能仍然很高，但「我不在乎他们住在哪里，」Monahan 说。「如果我付钱给某人，而他们却被迫将全部薪水寄给他们的老板，那会让我感到非常不舒服。如果他们的老板是北韩政权，那我会更不舒服。」在通报过程中联系了多名疑似来自北韩的IT工作人员，但尚未得到回应。

未来

透过分析 OFAC 制裁实体的区块链支付记录，确定了 20 多家可能雇用北韩IT工程师的公司。 12 家提交了相关记录的公司向 证实，他们之前曾在薪资单上发现疑似北韩IT工程师。有些人因担心法律后果而拒绝进一步评论，但其他人同意分享他们的故事，希望其他人可以从他们的经历中学习。

在许多情况下，北韩员工在被雇用后就更容易被识别。DeFi 项目 Injective 的执行长 Eric Chen 表示，他在 2020年与一名自由开发人员签约，但很快就因表现不佳而解雇了他。

「他没做多久，」Chen 说。「他写的程式码很差劲，效果也不好。」直到去年，当美国一家「政府机构」联系 Injective 时，Chen 才知道这名员工与北韩有联系。几家公司告诉 ，他们在得知一名员工与北韩有任何联系之前就解雇了该员工— — 理由是工作品质不达标。

「几个月的薪资单」

不过，北韩IT工程师与典型的开发人员类似，其能力也各有不同。Manian 说一方面，你会有一些员工「来到公司，通过面试，就赚了几个月的薪资」，「还有一方面，当你面试这些人时，你会发现他们的技术能力真的很强」。

Rust 回忆说，在 Truflation 时曾遇到过「一位非常优秀的开发人员」，他自称来自温哥华，但后来发现他来自北韩。「他真的是一个年轻人，」Rust 说。「感觉他刚从大学毕业。有点青涩，非常热衷，对能有机会工作感到非常兴奋。」

另一个例子是，DeFi 新创公司 Cluster 在 ZachXBT 提供证据表明两名开发人员与北韩有联系后，于 8月解雇了两名开发人员。

Cluster 的匿名创始人 z3n 告诉 ：「这些人知道的东西真的太多了，真是令人难以置信。」回想起来，有一些「明显的危险讯号」。例如，他们每两周就会更改付款地址，每个月左右就会更改 Discord 名称或 Telegram 名称。

网路摄影机关闭

在与 的对话中，许多雇主表示，当他们得知自己的员工可能是北韩人时，他们注意到了一些异常情况，这更有意义了。有时这些暗示很微妙，例如员工的工作时间与其应有的工作地点不符。

Truflation 等其他雇主注意到，员工可能由多人假扮成一个人，员工会透过关闭网路摄影机来隐藏这种情况。（他们几乎都是男性）。一家公司雇用了一名员工，她早上参加会议，但似乎会忘记当天晚些时候讨论的所有事情，而她之前明明已经和很多人交谈过，这一怪癖就更有意义了。

当 Rust 向一位有追踪犯罪支付网络经验的投资者表达他对「日本」员工 Ryuhei 的担忧时，这位投资者很快就确定了 Truflation 薪资单上的另外四名疑似来自北韩的IT工程师。「我们立即切断了联系，」Rust 表示，并补充说他的团队对其程式码进行了安全审核，增强了背景检查流程并更改了某些政策。其中一项新政策是要求远端工作人员打开摄影机。

价值 300万美元的骇客攻击

咨询的许多雇主都错误地认为北韩IT工程师是独立于北韩的骇客部门运作，但区块链数据和与专家的对话表明，北韩的骇客活动和IT工程师经常联系在一起。2021年 9月，Sushi 建立的发行加密代币的平台 MISO 在一次被盗事件中损失了 300万美元。 发现证据表明，这次攻击与 Sushi 雇用两名开发人员有关，这些开发人员的区块链支付记录与北韩有关。骇客攻击发生时，Sushi 是新兴 DeFi 领域最受关注的平台之一。 SushiSwap 已存入超过 50亿美元，该平台主要充当「去中心化交易所」，供人们在没有中介的情况下交易加密货币。

当时 Sushi 的技术长 Joseph Delong 将 MISO 窃案追溯到两名参与开发该平台的自由开发人员：他们使用了 Anthony Keller 和 Sava Grujic 的名字。 Delong 表示，这些开发人员（他现在怀疑是同一个人或同一个组织）向 MISO 平台注入了恶意程式码，将资金转移到他们控制的钱包中。当 Keller 和 Grujic 受雇于管理 Sushi 协议的去中心化自治组织 Sushi DAO 时，他们提供了对于入门级开发人员来说足够典型甚至令人印象深刻的凭证。

Keller 在公众面前使用化名「eratos1122」，但当他申请 MISO 工作时，他使用了看似是他真名的名字「Anthony Keller」。在 Delong 与 分享的履历中，凯勒声称自己居住在乔治亚州盖恩斯维尔，毕业于凤凰城大学，获得电脑工程学士学位。（该大学没有回应是否有同名毕业生的请求。）

Keller 的履历中确实提到了先前的工作。其中最令人印象深刻的是 Yearn Finance，这是一个非常受欢迎的加密投资协议，它为用户提供了一种透过一系列投资策略赚取利息的方式。 Yearn 的核心开发人员 Banteg 证实，Keller 曾参与开发 Coordinape，这是一个由 Yearn 开发的应用程序，旨在帮助团队协作和促进支付。（Banteg, 说，Keller 的工作仅限于 Coordinape，他无法存取 Yearn 的核心程式码库。）

据 Delong 称，Keller 将 Grujic 介绍给 MISO，两人自称是「朋友」。与 Keller 一样，Grujic 提供的履历上写的是他的真实姓名，而不是他的网路笔名「AristoK3」。他自称来自塞尔维亚，毕业于贝尔格莱德大学，拥有电脑科学学士学位。他的 GitHub 帐户很活跃，履历表上列出了他在几个较小的加密项目和游戏新创公司的工作经验。

Rachel Chu 是 Sushi 的前核心开发人员，在窃盗事件发生前曾与 Keller 和 Grujic 密切合作，她表示在骇客攻击发生之前她已经对这两人产生了「怀疑」。

尽管两人相距甚远，但 Grujic 和 Keller「口音相同」且「发短信的方式相同」，Chu 说。「每次我们通话时，他们都会有一些背景噪音，就像在工厂里一样，」她补充道。 Chu 回忆说，她见过 Keller 的脸，但从未见过 Grujic 的脸。据 Chu 说，Keller 的相机「放大」了，所以她根本看不清楚他身后是什么。

Grujic 和 Keller 最终在同一时间停止了对 MISO 的贡献。「我们认为他俩是同一个人，」Delong 说，「所以我们停止向他们付钱。」当时正值新冠疫情最严重时期，远端开发者一人分饰多角从薪资单中赚取额外收入的情况并不罕见。

在 Grujic 和 Keller 于 2021年夏天被解雇后，Sushi 团队忽视了撤销他们对 MISO 程式码库的存取权。Grujic 以他的「Aristok3」网名向 MISO 平台提交了恶意程式码，将 300万美元转移到一个新的加密货币钱包。

对区块链支付记录的分析表明，Grujic 、 Keller 和北韩之间可能存在关联。 2021年 3月，Keller 在一则现已删除的推文中发布了一个区块链地址。 发现，该地址、 Grujic 的骇客地址和 Sushi 存档的 Keller 地址之间存在多笔付款。据 Delong 称，Sushi 的内部调查最终得出结论，该地址属于 Keller 。

发现，该地址将大部分资金发送给了「Jun Kai」（Iqlusion 开发者，他向 OFAC 制裁的 Kim Sang Man 汇款）和另一个看似充当北韩代理的钱包（因为它也向 Kim 支付了费用）。

Sushi 的内部调查发现，Keller 和 Grujic 经常使用俄罗斯的 IP 位址进行操作，这进一步证实了他们是北韩人的说法。 OFAC 称，北韩的IT工程师有时就驻扎在俄罗斯。（Keller 简历上的美国电话号码已停用，他的「eratos1122」Github 和 Twitter 帐户也已被删除。）

此外，Sushi 在雇用 Keller 和 Grujic 的同时还雇用了另一名疑似北韩IT外包人员。 ZachXBT称这名开发人员为「Gary Lee」，他使用化名 LightFury 进行编码，并将收入汇给「Jun Kai」和另一个与 Kim 关联的代理地址。

在 Sushi 公开将攻击归咎于 Keller 的假名「eratos1122」并威胁要让 FBI 介入后，Grujic 归还了被盗资金。虽然北韩IT工程师会关心保护假身分似乎有悖常理，但北韩IT工程师似乎会重复使用某些名字，并透过为许多项目做出贡献来建立自己的声誉，或许是为了赢得未来雇主的信任。

有人可能认为，从长远来看，保护 Anthony Keller 这个别名更有利可图：2023年，即 Sushi 事件发生两年后，一个名叫「Anthony Keller」的人向 Stefan Rust 的公司 Truflation 提出了申请。

北韩式抢劫

据联合国称，过去七年来，北韩透过骇客攻击窃取了超过 30亿美元的加密货币。区块链分析公司 Chainalysis 在 2023年上半年追踪到的骇客攻击中，有 15 起与北韩有关，「其中约有一半涉及IT工程师相关的盗窃」，该公司发言人 Madeleine Kennedy 表示。

北韩的网路攻击不像好莱坞版的骇客攻击，穿著连帽衫的程式设计师利用复杂的电脑程式码和黑绿色的电脑终端入侵大型主机。北韩式的攻击显然技术含量较低。它们通常涉及某种形式的社会工程学，攻击者赢得持有系统金钥的受害者的信任，然后透过恶意电子邮件连结等简单方式直接提取这些金钥。

Monahan 说：「到目前为止，我们从未见过北韩实施真正的攻击。他们总是先进行社会工程攻击，然后入侵设备，最后窃取私钥」。IT工程师很适合为北韩的抢劫活动做出贡献，他们要么获取可用于破坏潜在目标的个人资讯，要么直接访问充斥著数位现金的软体系统。

一系列巧合

在本文即将发表之际， 安排与 Truflation 的 Rust 进行视讯通话。计划是核实他之前分享的一些细节。慌乱的 Rust 迟到了 15 分钟才加入通话。他刚刚被骇客入侵了。联系了 20 多个似乎不自觉雇用了北韩IT工程师的项目。仅在采访的最后两周，其中两个项目就遭到骇客攻击：Truflation 和一款名为 Delta Prime 的加密货币借贷应用程式。目前判断这两起骇客事件是否与北韩IT工程师有直接联系还为时过早。

Delta Prime 首次遭到入侵。 先前发现了 Delta Prime 与Naoki Murano 之间的付款和代码贡献，Naoki Murano 是匿名区块链侦探 ZachXBT 宣传的与北韩有关的开发人员之一。该项目损失了 700 多万美元，官方解释是因为「私钥泄露」。 Delta Prime 没有回应多次置评请求。

不到两周后，Truflation 骇客攻击事件也随之而来。在与 通话前大约两小时，Rust 注意到他的加密钱包中资金流出。他刚从新加坡出差回来，正在努力弄清楚自己做错了什么。「我就是不知道事情是怎么发生的，」他说。「我把我的笔电都锁在饭店墙上的保险箱里。我一直带著手机。」

就在 Rust 发表演说时，数百万美元正从他的个人区块链钱包中流出，「我的意思是，这真的很糟糕。这些钱是我孩子的学费和养老金」。Truflation 和 Rust 最终损失了约 500万美元。官方认定损失的原因是私钥被盗。