你以为招的是远程工程师,结果招进了金正恩的网络战部队。
1. CrowdStrike年度报告:47%的入侵来自同一个国家
网络安全巨头 CrowdStrike 刚发布了年度网络安全报告。里面有一个数字,让所有科技公司的人力资源部门后背发凉:
过去一年里,美国科技公司记录的"亲手操作"(hands-on-keyboard)入侵事件中,47%来自朝鲜黑客。
几乎一半。不是中国,不是俄罗斯,不是伊朗——是朝鲜。
CrowdStrike追踪的"hands-on-keyboard"入侵,指的是真人黑客实际操作,而不是自动化恶意软件。这种攻击通常从窃取密码或凭证开始,然后滥用目标系统中已有的合法工具,维持长期潜伏。
简单说:这不是机器人在扫漏洞,是有真人在你的系统里翻箱倒柜。
2. "Famous Chollima":披着开发者马甲的朝鲜特工
CrowdStrike给这个黑客组织起了个代号:Famous Chollima(千里马)。
他们的操作方式堪称"完美伪装"——不是黑进去,而是被招进去。他们冒充开发者、程序员、IT工程师,向美、欧、亚的科技公司投递远程工作简历,成功应聘后光明正大地进入公司内部系统。
怎么做到的?
-
AI生成实时深度伪造视频(deepfake):面试时显示一张完全真实的脸,但脸的背后是朝鲜的操作员 -
伪造身份证件:用偷来的护照、驾照,把自己包装成美国人或其他外国人 -
完善的背景故事:履历、技能、项目经验,全部精心伪造
朝鲜被西方和联合国因核武器发展而严厉制裁,几乎无法使用西方银行系统。所以他们的网络战部队不仅是为了窃取,更是为了直接赚钱——通过远程工作领工资,把钱汇回平壤。
3. 一场三重犯罪:领工资、偷数据、再勒索
这些朝鲜特工进入公司后,做的事情堪称"职场寄生虫"的极致。
第一层:领工资
他们像正常员工一样工作、提交代码、参加站会,公司按月发工资。这些钱直接流回朝鲜政权,用于资助被国际法禁止的核武器计划。
第二层:窃取知识产权
他们在日常工作的掩护下,悄悄窃取公司的知识产权、商业机密、技术文档、客户数据。所有有价值的东西,能拿的都拿。
第三层:勒索
当公司最终发现不对劲时,这些黑客会亮出底牌:威胁公开他们已经窃取的数据,除非公司支付赎金。
也就是说,公司不仅白付了工资,还被偷了数据,最后还要被勒索。三重损失,一气呵成。
4. 加密货币:朝鲜的"数字金矿"
除了渗透科技公司,朝鲜黑客的另一个重点是区块链和加密货币开发者。
原因很简单:朝鲜被全球银行系统封杀,传统的资金转移渠道几乎全部被切断。但加密货币不一样——去中心化、匿名、跨境无障碍。偷来的加密货币可以直接进入朝鲜的钱包,无需经过任何银行或监管机构。
CrowdStrike的数据显示:
朝鲜在2025年一年就窃取了约20亿美元的加密货币。
而多年累积下来,这个数字已经超过数十亿美元。这些资金直接支撑了金正恩的核武器和弹道导弹计划。
区块链开发者、DeFi项目、加密货币交易所,都是他们的重点目标。因为一旦得手,回报巨大,而且追踪困难。
5. 为什么美国科技公司成了"软柿子"?
你可能好奇:CrowdStrike是世界顶级的网络安全公司,它的客户应该都是安全意识很强的企业。为什么朝鲜能做到47%的占比?
几个原因叠加:
远程工作常态化
疫情后,远程工作成了科技行业的标配。公司不再需要面对面面试,视频面试里一张deepfake的脸,足以骗过大多数HR和用人经理。很多人根本想不到,屏幕对面的人可能根本不在美国,而是在平壤的某个操作中心。
AI deepfake技术的平民化
几年前,实时deepfake还需要昂贵的设备和专业技术。现在,开源工具比比皆是,配合一套精心设计的身份包装,足够以假乱真。
招聘市场的焦虑
美国科技公司经历了一波又一波裁员,但同时又面临技术人才短缺。HR在快速招聘的压力下,更容易忽略背景调查中的异常信号。
全球制裁的副作用
朝鲜被制裁得越狠,他们越依赖网络犯罪作为资金来源。这是一个恶性循环:制裁 → 更依赖黑客 → 更多资源投入 → 更精密的攻击 → 更严重的损失。
6. 这不仅仅是美国的问题
CrowdStrike的数据虽然聚焦美国科技公司,但朝鲜黑客的目标远不止于此。
欧洲、亚洲的科技公司同样在目标列表上。而且,他们的**"IT工人渗透"策略**已经开始扩散到其他行业:
-
金融机构的后台技术团队 -
国防承包商的技术外包 -
医疗科技公司 -
能源和基础设施企业
任何有远程工作、技术外包、全球化招聘的公司,都可能是潜在目标。朝鲜的网络战部队已经证明:他们不仅能黑进系统,还能直接走进前门——拿着你的offer letter。
7. 科技公司能做什么?
CrowdStrike的报告没有只给坏消息,也给出了一些防御建议:
| 防御措施 | 具体做法 |
|---|---|
| 身份验证升级 | 不再只依赖视频面试,要求多因素验证和第三方背景调查 |
| deepfake检测 | 在面试中加入实时检测工具,比如要求候选人做特定动作 |
| 权限最小化 | 新员工默认最小权限,逐步根据信任度开放 |
| 行为监控 | 监控异常行为:异常登录时间、异常数据访问、异常文件下载 |
| 内部审计 | 定期审查所有远程员工的设备和网络活动 |
但最根本的挑战是:攻击者也在进化。今天的防御手段,明天可能就被绕过。这是一场没有尽头的猫鼠游戏。
8. 更深层的含义:网络战成了现代战争的主战场
朝鲜的案例揭示了一个残酷的现实:
传统的军事威胁和网络安全之间的边界,正在彻底消失。
朝鲜没有能力和美国打一场常规战争,但它可以通过网络攻击,:
-
直接窃取美国公司的资金 -
偷取技术用于自己的武器研发 -
削弱美国科技行业的竞争力 -
为核武器计划提供资金
47%的数字不是偶然。 它说明朝鲜已经把这个策略系统化、规模化,变成了一项国家战略。
当其他国家还在讨论"网络战"的概念时,朝鲜已经把它变成了日常运营——每天有人坐在电脑前,投递简历、参加面试、写代码、偷数据、转移加密货币。
CrowdStrike的报告给美国科技公司敲响了警钟。但真正的教训可能比这更深刻:当全球制裁把一个国家逼到墙角,它不会乖乖认输,而是会找到最意想不到的缝隙钻出来。
朝鲜找到的缝隙是:你的远程工作招聘流程。
下一次你面试一个远程开发者时,也许值得多看一眼屏幕里那张脸——它可能来自几千公里外,背后是一个正把你的工资转给核武器计划的键盘操作员。
在这个时代,最危险的入侵不是从防火墙漏洞进来的,是从HR邮箱里那封简历开始的。