• CoinDesk 发现有十多家加密货币公司在不知情的情况下雇佣了来自朝鲜民主主义人民共和国 (DPRK) 的 IT 工作者,其中包括 Injective、ZeroLend、Fantom、Sushi、Yearn Finance 和 Cosmos Hub 等知名区块链项目。

  • 这些工人们使用假身份证,成功通过面试,通过了资历检查,并提供了真实的工作经历。

  • 在美国和其他制裁朝鲜的国家,雇用朝鲜工人是违法的。这也存在安全风险:CoinDesk 发现多家公司雇用朝鲜 IT 工人,随后遭到黑客攻击。

  • 著名区块链开发者扎基·马尼安 (Zaki Manian) 表示:“每个人都在努力筛选掉这些人。”他表示,自己在 2021 年无意中雇佣了两名朝鲜 IT 工作者来帮助开发 Cosmos Hub 区块链。

2023 年,加密货币公司 Truflation 仍处于起步阶段,当时创始人 Stefan Rust 在不知情的情况下雇用了第一位朝鲜员工。

“我们一直在寻找优秀的开发人员,”Rust 在瑞士家中说道。出乎意料的是,“这个开发人员遇到了我们。”

“Ryuhei”通过 Telegram 发送了简历,声称自己在日本工作。他被录用后不久,奇怪的矛盾就开始浮出水面。

有一次,“我和那个人通话,他说他遇到了地震,”拉斯特回忆道。但日本最近并没有发生地震。然后,这名员工开始漏接电话,当他出现时,“不是他,”拉斯特说。“是其他人。”不管是谁,都去掉了日语口音。

拉斯特很快得知“Ryuhei”和其他四名员工(占其团队人数的三分之一以上)都是朝鲜人。拉斯特无意中落入了朝鲜的一项协调计划,该计划旨在为其员工提供远程海外工作,并将收入汇回平壤。

美国当局最近加强了警告,称朝鲜信息技术 (IT) 工作者正在渗透科技公司,包括加密货币雇主,并利用所得资金资助这个贱民国家的核武器计划。根据 2024 年联合国的一份报告,这些 IT 工作者每年为金正恩政权赚取高达 6 亿美元的收入。

雇佣和支付工人的工资——即使是无意的——也违反了联合国的制裁,在美国和许多其他国家都是非法的。这也带来了严重的安全风险,因为众所周知,朝鲜黑客会通过秘密雇佣工人来攻击公司。

CoinDesk 的一项调查揭示了朝鲜求职者针对加密货币公司的积极性和频率——成功通过面试、通过背景调查,甚至在开源软件存储库 GitHub 上展示了令人印象深刻的代码贡献历史。

CoinDesk 采访了十多家加密货币公司,这些公司表示,他们无意中雇佣了来自朝鲜民主主义人民共和国(DPRK,该国的正式名称)的 IT 工作者。

这些对创始人、区块链研究人员和行业专家的采访表明,朝鲜 IT 工作者在加密行业中比之前想象的要普遍得多。CoinDesk 为本文采访的几乎每位招聘经理都承认,他们曾面试过疑似朝鲜开发者,在不知情的情况下雇佣了他们,或者认识有人这样做过。

著名区块链开发者扎基·马尼安 (Zaki Manian) 表示:“在整个加密行业中,来自朝鲜的简历、求职者或希望做出贡献的人的比例可能超过 50%。”他表示,自己在 2021 年无意中雇佣了两名朝鲜 IT 工作者来帮助开发 Cosmos Hub 区块链。“每个人都在努力筛选出这些人。”

CoinDesk 发现的不知情的朝鲜雇主中包括几个知名的区块链项目,例如 Cosmos Hub、Injective、ZeroLend、Fantom、Sushi 和 Yearn Finance。“这一切都是在幕后发生的,”Manian 说。

此次调查是这些公司首次公开承认他们无意中雇佣了朝鲜 IT 员工。

在许多情况下,朝鲜工人的工作方式与普通员工一样;因此,从某种意义上说,雇主基本上得到了他们所支付的报酬。但 CoinDesk 发现证据表明,工人随后将工资汇入与朝鲜政府相关的区块链地址。

CoinDesk 的调查还揭露了几起雇用朝鲜 IT 员工的加密项目后来遭到黑客攻击的案例。在其中一些案例中,CoinDesk 能够将盗窃直接与公司工资单上的疑似朝鲜 IT 员工联系起来。Sushi 就是这种情况,Sushi 是一个著名的去中心化金融协议,在 2021 年的一次黑客事件中损失了 300 万美元。

美国财政部外国资产控制办公室 (OFAC) 和司法部于 2022 年开始公布朝鲜试图渗透美国加密货币行业。CoinDesk 发现的证据表明,朝鲜 IT 工作者早在那之前就开始以假身份在加密货币公司工作,至少早在 2018 年就已经开始。

“我认为,很多人都误以为这是突然发生的事情,”马尼安说。“这些人的 GitHub 账户和其他东西可以追溯到 2016 年、2017 年、2018 年。”(GitHub 归微软所有,是许多软件组织用来托管代码并允许开发人员协作的在线平台。)

CoinDesk 使用各种方法将朝鲜 IT 工作者与公司联系起来,包括区块链支付记录、公开的 GitHub 代码贡献、美国政府官员的电子邮件以及直接采访目标公司。CoinDesk 调查的朝鲜最大支付网络之一是由区块链调查员 ZachXBT 发现的,他在 8 月发布了一份疑似朝鲜开发商名单。

此前,雇主们因为担心不必要的曝光或法律后果而保持沉默。现在,面对 CoinDesk 挖掘出的大量付款记录和其他证据,他们中的许多人决定站出来,首次分享自己的故事,揭露朝鲜渗透加密货币行业的巨大成功和规模。

伪造文件

在雇佣了这位表面上是日本员工的 Ryuhei 之后,Rust 的 Truflation 收到了大量新申请。短短几个月内,Rust 又不知不觉地雇佣了四名朝鲜开发人员,他们自称分别驻扎在蒙特利尔、温哥华、休斯顿和新加坡。

加密行业特别容易受到朝鲜 IT 工作者的破坏。加密行业的劳动力分布非常全球化,与其他公司相比,加密公司往往更愿意雇佣完全远程(甚至是匿名)的开发人员。

CoinDesk 审查了加密货币公司从各种来源收到的朝鲜工作申请,包括 Telegram 和 Discord 等消息平台、Crypto Jobs List 等加密货币专用求职板以及 Indeed 等招聘网站。

“他们最幸运的是那些愿意通过 Discord 招聘的真正新锐团队,”加密钱包应用 MetaMask 的产品经理泰勒·莫纳汉 (Taylor Monahan) 表示,他经常发布与朝鲜加密活动相关的安全研究。“他们没有制定流程来雇佣经过背景调查的人。他们很多时候都愿意用加密货币支付。”

拉斯特表示,他对 Truflation 所有新员工都进行了背景调查。“他们给我们寄来了护照和身份证,给了我们 GitHub 代码库,进行了测试,然后基本上我们就聘用了他们。”

在外行人看来,大多数伪造的文件与真正的护照和签证难以区分,但专家告诉 CoinDesk,专业的背景调查服务很可能会发现这些伪造的文件。

尽管初创公司不太可能使用专业背景调查人员,但“我们确实在大公司看到朝鲜 IT 人员,要么是真正的员工,要么至少是承包商,”莫纳汉说。

隐藏在众目睽睽之下

在许多情况下,CoinDesk 发现朝鲜公司的 IT 工作者使用公开的区块链数据。

2021 年,区块链开发人员 Manian 的公司 Iqlusion 需要一些帮助。他寻找自由程序员,他们可能会帮助完成一个升级流行的 Cosmos Hub 区块链的项目。他找到了两名新员工;他们表现出色。

Manian 从未亲自见过自由职业者“Jun Kai”和“Sarawut Sanit”。他们之前曾合作过一个由密切关联的区块链网络 THORChain 资助的开源软件项目,他们告诉 Manian 他们在新加坡。

“一年来,我几乎每天都和他们交谈,”马尼安说。“他们完成了工作。坦率地说,我非常满意。”

在这些自由职业者完成工作两年后,Manian 收到了一封 FBI 特工的电子邮件,该特工正在调查似乎来自 Iqlusion 的代币转账,这些转账被转至疑似朝鲜加密钱包地址。涉案转账原来是 Iqlusion 向 Kai 和 Sanit 支付的款项。

FBI 从未向 Manian 证实他签约的开发人员是朝鲜特工,但 CoinDesk 对 Kai 和 Sanit 的区块链地址的审查显示,在 2021 年和 2022 年期间,他们将收入汇给了 OFAC 制裁名单上的两个人:Kim Sang Man 和 Sim Hyon Sop。

据 OFAC 称,Sim 是朝鲜​​光鲜银行的代表,这家银行洗钱 IT 工作者的资金,以帮助“资助朝鲜的大规模杀伤性武器和弹道导弹计划”。Sarawut 似乎已将其所有收入汇入 Sim 和其他与 Sim 关联的区块链钱包。

与此同时,凯直接向金汇款近 800 万美元。根据 2023 年 OFAC 的一份咨询报告,金是朝鲜运营的 Chinyong 信息技术合作公司的代表,该公司“通过其控制的公司及其代表,雇佣了在俄罗斯和老挝工作的朝鲜 IT 工作者代表团。”

Iqlusion 给 Kai 的工资只占他给 Kim 的近 800 万美元中的不到 5 万美元,其余资金部分来自其他加密货币公司。

例如,CoinDesk 发现,开发广泛使用的 Fantom 区块链的 Fantom 基金会向“Jun Kai”和另一位与朝鲜有关的开发者支付了款项。

Fantom 基金会的一位发言人告诉 CoinDesk:“Fantom 确实确认有两名外部人员在 2021 年与朝鲜有牵连。然而,涉事开发人员参与了一个从未完成且从未部署过的外部项目。”

据 Fantom 基金会称,“涉事的两名员工已被解雇,他们从未贡献过任何恶意代码,也从未访问过 Fantom 的代码库,Fantom 的用户也没有受到影响。”发言人表示,一名朝鲜员工曾试图攻击 Fantom 的服务器,但由于缺乏必要的访问权限而失败。

根据 OpenSanctions 数据库,金正恩与朝鲜有关的区块链地址直到 2023 年 5 月才被任何政府公布,这距离 Iqlusion 和 Fantom 付款已经过去了两年多。

给予回旋余地

美国和联合国分别于2016年和2017年批准雇用朝鲜IT人员。

无论你是否知情,向在美国的朝鲜工人支付工资都是违法的——这一法律概念被称为“严格责任”。

公司所在地也并不重要:对于在对朝鲜实施制裁的国家开展业务的任何公司来说,雇用朝鲜工人都会带来法律风险。

然而,美国和其他联合国成员国尚未起诉雇用朝鲜 IT 工人的加密公司。

美国财政部对总部位于美国的 Iqlusion 展开了调查,但马尼安表示调查结束时并未对其采取任何处罚措施。

美国当局对于对这些公司提起指控一直很宽容——某种程度上承认,这些公司是极其复杂和老练的身份欺诈行为的受害者,或者在最坏的情况下,是一场最令人羞辱的长期骗局。

除了法律风险之外,MetaMask 的 Monahan 解释道,向朝鲜 IT 工作者支付工资也是“不好的,因为你支付工资的人基本上是被政权剥削的人”。

根据联合国安理会长达 615 页的报告,朝鲜 IT 工作者只能保留工资的一小部分。报告指出,“低收入者保留 10%,而高收入者可以保留 30%”。

虽然这些工资相对于朝鲜的平均水平来说可能仍然很高,但“我不在乎他们住在哪里,”莫纳汉说。“如果我付钱给某人,而他们却被迫将全部薪水寄给他们的老板,那会让我感到非常不舒服。如果他们的老板是朝鲜政权,那我会更不舒服。”

CoinDesk 在报道过程中联系了多名疑似朝鲜 IT 工作人员,但尚未得到回复。

未来

CoinDesk 通过分析 OFAC 制裁实体的区块链支付记录,确定了 20 多家可能雇用朝鲜 IT 员工的公司。12 家提交了相关记录的公司向 CoinDesk 证实,他们之前曾在工资单上发现疑似朝鲜 IT 员工。

一些人因担心法律后果而拒绝进一步评论,但其他人同意分享他们的故事,希望其他人可以从他们的经历中吸取教训。

在许多情况下,朝鲜雇员在被雇用后就更容易被识别。

专注于去中心化金融的项目 Injective 的首席执行官 Eric Chen 表示,他在 2020 年与一名自由开发人员签约,但很快就因表现不佳而解雇了他。

“他没干多久,”陈说。“他写的代码很差劲,效果也不好。”直到去年,美国一家“政府机构”联系了 Injective,陈才知道这名员工与朝鲜有联系。

几家公司告诉 CoinDesk,他们在得知一名员工与朝鲜有任何联系之前就解雇了该员工 — — 理由是工作质量不达标。

“几个月的牛奶工资单”

不过,朝鲜 IT 工作者与典型的开发人员类似,其能力也各有不同。

一方面,你会遇到这样的员工:“来上班,通过面试,然后从工资单上赚几个月的薪水”,马尼安说。“另一方面,你会遇到这样的人,当你面试他们时,你会发现他们的实际技术能力非常强。”

拉斯特回忆说,在 Truflation 时曾遇到过“一位非常优秀的开发人员”,他自称来自温哥华,但后来发现他来自朝鲜。“他真的是一个年轻人,”拉斯特说。“感觉他刚从大学毕业。有点青涩,非常热衷,对能有机会工作感到非常兴奋。”

另一个例子是,去中心化金融初创公司 Cluster 在 ZachXBT 提供证据表明两名开发人员与朝鲜有联系后,于 8 月解雇了两名开发人员。

Cluster 的匿名创始人 z3n 告诉 CoinDesk:“这些人知道的东西真的太多了,真是令人难以置信。”回想起来,有一些“明显的危险信号”。例如,“他们每两周就会更改付款地址,每个月左右就会更改 Discord 名称或 Telegram 名称。”

网络摄像头关闭

在与 CoinDesk 的对话中,许多雇主表示,当他们得知自己的员工可能是朝鲜人时,他们注意到了一些异常情况,这更有意义了。

有时这些暗示很微妙,比如员工的工作时间与其应有的工作地点不符。

Truflation 等其他雇主注意到,员工可能由多人假扮成一个人,员工会通过关闭网络摄像头来隐藏这一情况。(他们几乎都是男性)。

一家公司雇佣了一名员工,她早上参加会议,但似乎会忘记当天晚些时候讨论的所有事情——当雇主意识到她已经和很多人交谈过后,这一怪癖就更有意义了。

当 Rust 向一位有追踪犯罪支付网络经验的投资者表达他对“日本”员工 Ryuhei 的担忧时,这位投资者很快就确定了 Truflation 工资单上的另外四名疑似朝鲜 IT 工作人员。

“我们立即切断了联系,”Rust 表示,并补充说他的团队对其代码进行了安全审核,增强了背景检查流程并更改了某些政策。其中一项新政策是要求远程工作人员打开摄像头。

价值 300 万美元的黑客攻击

CoinDesk 咨询的许多雇主都错误地认为朝鲜 IT 工作者独立于朝鲜的黑客部门运作,但区块链数据和与专家的对话表明,该政权的黑客活动和 IT 工作者经常联系在一起。

2021 年 9 月,Sushi 为发行加密代币而建立的平台 MISO 在一次被广泛报道的抢劫中损失了 300 万美元。CoinDesk 发现证据表明,此次攻击与 Sushi 雇用两名开发人员有关,这些开发人员的区块链支付记录与朝鲜有关。

黑客攻击发生时,Sushi 是新兴去中心化金融 (DeFi) 领域最受关注的平台之一。SushiSwap 已存入超过 50 亿美元,该平台主要充当“去中心化交易所”,供人们在没有中介的情况下交换加密货币。

当时 Sushi 的首席技术官 Joseph Delong 将 MISO 盗窃案追溯到两名参与开发该平台的自由开发人员:他们使用了 Anthony Keller 和 Sava Grujic 的名字。Delong 表示,这些开发人员(他现在怀疑是同一个人或同一个组织)向 MISO 平台注入了恶意代码,将资金转移到他们控制的钱包中。

当凯勒和格鲁伊奇受雇于管理 Sushi 协议的去中心化自治组织 Sushi DAO 时,他们提供了对于入门级开发人员来说足够典型甚至令人印象深刻的凭证。

凯勒在公众面前使用化名“eratos1122”,但当他申请 MISO 工作时,他使用了看似是他真名的名字“安东尼·凯勒”。在德隆与 CoinDesk 分享的简历中,凯勒声称自己居住在佐治亚州盖恩斯维尔,毕业于凤凰城大学,获得计算机工程学士学位。(该大学没有回应是否有同名毕业生的请求。)

凯勒的简历中确实提到了之前的工作。其中最令人印象深刻的是 Yearn Finance,这是一种非常流行的加密投资协议,它为用户提供了一种通过一系列预制投资策略赚取利息的方式。Yearn 的核心开发人员班特格证实,凯勒曾参与开发 Coordinape,这是一款由 Yearn 开发的应用程序,旨在帮助团队协作和促进支付。(班特格说,凯勒的工作仅限于 Coordinape,他无法访问 Yearn 的核心代码库。)

据德隆称,凯勒将格鲁伊奇介绍给 MISO,两人自称是“朋友”。与凯勒一样,格鲁伊奇提供的简历上写的是他的真实姓名,而不是他的网络笔名“AristoK3”。他自称来自塞尔维亚,毕业于贝尔格莱德大学,拥有计算机科学学士学位。他的 GitHub 帐户很活跃,简历上列出了他在几个较小的加密项目和游戏初创公司的工作经验。

Rachel Chu 是 Sushi 的前核心开发人员,在盗窃事件发生前曾与 Keller 和 Grujic 密切合作,她表示在黑客攻击发生之前她就已经对这两人产生了“怀疑”。

尽管声称两人相距甚远,但格鲁伊奇和凯勒“口音相同”且“发短信的方式相同”,楚说。“每次我们通话时,他们都会有一些背景噪音,就像在工厂里一样,”她补充道。楚回忆说,她见过凯勒的脸,但从未见过格鲁伊奇的脸。据楚说,凯勒的相机“放大”了,所以她根本看不清他身后是什么。

凯勒和格鲁伊奇最终在同一时间停止了对 MISO 的贡献。“我们认为安东尼和萨瓦是同一个人,”德隆说,“所以我们停止向他们付钱。”当时正值 COVID-19 疫情最严重时期,远程加密货币开发人员假扮多人从工资单中赚取额外收入的情况并不罕见。

在凯勒和格鲁伊奇于 2021 年夏天被解雇后,Sushi 团队忽视了撤销他们对 MISO 代码库的访问权限。

根据 CoinDesk 获得的一张截图,9 月 2 日,Grujic 以他的“Aristok3”网名向 MISO 平台提交了恶意代码,将 300 万美元转移到一个新的加密货币钱包。

CoinDesk 对区块链支付记录的分析表明,凯勒、格鲁伊奇和朝鲜之间可能存在联系。2021 年 3 月,凯勒在一条现已删除的推文中发布了一个区块链地址。CoinDesk 发现,该地址、格鲁伊奇的黑客地址和 Sushi 存档的凯勒地址之间存在多笔付款。据 Delong 称,Sushi 的内部调查最终得出结论,该地址属于凯勒。

CoinDesk 发现,该地址将大部分资金发送给了“Jun Kai”(Iqlusion 开发者,他向 OFAC 制裁的 Kim Sang Man 汇款)和另一个看似充当朝鲜代理的钱包(因为它也向 Kim 支付了费用)。

Sushi 的内部调查发现,凯勒和格鲁伊奇经常使用俄罗斯的 IP 地址进行操作,这进一步证实了凯勒和格鲁伊奇是朝鲜人的说法。OFAC 称,朝鲜的 DPRK IT 工作人员有时就驻扎在俄罗斯。(凯勒简历上的美国电话号码已停用,他的“eratos1122”Github 和 Twitter 帐户也已被删除。)

此外,CoinDesk 还发现证据表明,Sushi 在雇佣 Keller 和 Grujic 的同时还雇佣了另一名疑似朝鲜 IT 承包商。ZachXBT 称这名开发人员为“​​Gary Lee”,他使用化名 LightFury 进行编码,并将收入汇给“Jun Kai”和另一个与 Kim 关联的代理地址。

在 Sushi 公开将攻击归咎于 Keller 的假名“eratos1122”并威胁要让 FBI 介入后,Grujic 归还了被盗资金。虽然朝鲜 IT 工作者会关心保护假身份似乎有悖常理,但朝鲜 IT 工作者似乎会重复使用某些名字,并通过为许多项目做出贡献来逐渐建立自己的声誉,或许这是一种赢得未来雇主信任的方式。

有人可能认为,从长远来看,保护 Anthony Keller 这个别名更有利可图:2023 年,即寿司事件发生两年后,一个名叫“Anthony Keller”的人向 Stefan Rust 的公司 Truflation 提出了申请。

记者尝试联系“Anthony Keller”和“Sava Grujic”寻求评论,但没有成功。

朝鲜式抢劫

据联合国称,过去七年来,朝鲜通过黑客攻击窃取了超过 30 亿美元的加密货币。区块链分析公司 Chainalysis 在 2023 年上半年追踪到的黑客攻击中,有 15 起与朝鲜有关,“其中约有一半涉及 IT 工作者相关的盗窃”,该公司发言人 Madeleine Kennedy 表示。

朝鲜的网络攻击并不像好莱坞版的黑客攻击,穿着连帽衫的程序员利用复杂的计算机代码和黑绿色的计算机终端侵入大型计算机。

朝鲜式的攻击显然技术含量较低。它们通常涉及某种形式的社会工程学,攻击者赢得持有系统密钥的受害者的信任,然后通过恶意电子邮件链接等简单方式直接提取这些密钥。

莫纳汉说:“到目前为止,我们从未见过朝鲜实施真正的攻击。他们总是先进行社会工程攻击,然后入侵设备,最后窃取私钥。”

IT 工作者很适合为朝鲜的抢劫活动做出贡献,他们要么获取可用于破坏潜在目标的个人信息,要么直接访问充斥着数字现金的软件系统。

一系列巧合

9 月 25 日,在本文即将发表之际,CoinDesk 安排与 Truflation 的 Rust 进行视频通话。计划是核实他之前分享的一些细节。

慌乱的 Rust 迟到了 15 分钟才加入通话。他刚刚被黑客入侵了。

CoinDesk 联系了 20 多个似乎被骗雇佣朝鲜 IT 员工的项目。仅在报告的最后两周,其中两个项目就遭到黑客攻击:Truflation 和一款名为 Delta Prime 的加密货币借贷应用程序。

目前判断这两起黑客事件是否与朝鲜 IT 员工的无意聘用有直接联系还为时过早。

9 月 16 日,Delta Prime 首次遭到入侵。CoinDesk 此前曾发现 Delta Prime 与 Naoki Murano 之间存在付款和代码贡献,Naoki Murano 是匿名区块链侦探 ZachXBT 宣传的与朝鲜有关联的开发商之一。

该项目损失了 700 多万美元,官方解释是因为“私钥被泄露”。Delta Prime 没有回应多次置评请求。

不到两周后,Truflation 黑客攻击事件也随之而来。在与 CoinDesk 通话前大约两个小时,Rust 注意到他的加密钱包中资金流出。他刚从新加坡旅行回来,正在努力弄清楚自己做错了什么。“我就是不知道事情是怎么发生的,”他说。“我把我的笔记本都锁在酒店墙上的保险箱里。我一直带着手机。”

就在 Rust 发表讲话时,数百万美元正从他的个人区块链钱包中流出。“我的意思是,这真的很糟糕。这些钱是我孩子的学费和养老金。”

Truflation 和 Rust 最终损失了约 500 万美元。官方认定的损失是私钥被盗。