CoinDesk 的一項調查顯示,十幾家區塊鏈公司無意中僱用了北韓臥底IT 專業人員。這樣做,冒著網路攻擊和法律風險。
2023 年,加密貨幣公司Truflation 仍處於起步階段,創辦人Stefan Rust 不知不覺地僱用了他的第一位北韓員工。
我們一直在尋找優秀的開發商。
魯斯特在瑞士的家中說。 「有一次,一個開發商剛來,就通過了篩子。」 「Ryuhei」在Telegram 上發送了自己的簡歷,並聲稱住在日本。他入學後不久,奇怪的矛盾開始出現。 「有一次我和那個人聊過,他說那是一場地震,」魯斯特回憶道。但當時日本並沒有發生地震。然後,這名員工開始缺席會議,當他出現時,「他就不再是他自己了,」拉斯特說。 「是別人。」這個人的日本口音消失了。
Rust 很快就了解到「Ryuhei」和其他四名員工(佔整個團隊的三分之一以上)都是北韓人。他不知道的是,魯斯特已經成為北韓精心策劃的協調詐欺的受害者。其目標是為北韓人在海外確保遠距工作的工作機會,並將收入轉移回平壤。
美國當局最近多次警告北韓資訊科技(IT) 專家滲透科技公司,包括加密貨幣產業的雇主。他們的收入被用來資助這個孤立國家的核武計畫。根據2024 年聯合國報告,這些IT 工人每年將為金正恩政權帶來高達6 億美元的收入。
僱用和支付此類工人的工資,即使是無意的,也違反了聯合國的製裁。這在美國和許多其他國家是非法的。它也構成了嚴重的安全風險,因為眾所周知,北韓駭客透過便衣工人攻擊公司。 CoinDesk 的一項調查現已顯示,北韓求職者特別頻繁且積極地瞄準加密貨幣公司。他們成功通過了面試和背景調查,甚至在開源軟體的GitHub 儲存庫上展示了自己令人印象深刻的程式碼貢獻。 CoinDesk 採訪了十幾家加密貨幣公司,他們稱這些公司無意中聘用了來自朝鮮民主主義人民共和國(DPRK) 的IT 專業人員。
驚人的頻率
對創辦人、區塊鏈研究人員和產業專家的訪談顯示,北韓IT 工人在加密貨幣產業中比之前想像的更為常見。事實上,CoinDesk 為撰寫本文而聯繫的每位人力資源經理都承認採訪過可疑的北韓開發人員。您是否無意中使用過它們,或認識有這樣使用過的人嗎?
在整個加密貨幣產業中,可能超過50% 的工作申請、求職者或貢獻者(其中任何一個)都來自北韓。
著名區塊鏈開發商Zaki Manian 表示,他在2021 年不小心僱用了兩名朝鮮IT 工人來開發Cosmos Hub區塊鏈。
每個人都在努力過濾掉這些人。
CoinDesk 發現的在不知情的情況下僱用北韓工人的公司包括幾個知名的區塊鏈項目。例子包括Cosmos Hub、Injective、ZeroLend、Fantom、Sushi 和Yearn Finance。 「這一切都是在後台發生的,」馬尼安說。此次調查標誌著這些公司首次公開承認他們無意中僱用了北韓IT 員工。
忙碌的幾個月
在許多情況下,北韓工人的工作方式與任何典型員工一樣。因此,從某種意義上說,雇主得到了他們所付出的代價。然而,CoinDesk 發現證據表明,工人們後來將工資轉移到與北韓政府相關的區塊鏈地址。
CoinDesk 的調查發現了多起僱用北韓IT 員工的加密貨幣計畫後來遭到駭客攻擊的案例。在某些情況下,CoinDesk 能夠顯示盜竊事件與該公司僱用的可疑北韓IT 員工之間存在直接聯繫。 Sushi 就是這樣的例子,它是一個主要的去中心化金融協議,在2021 年的一次駭客攻擊中損失了300 萬美元。
2022 年,美國財政部外國資產管制辦公室(OFAC) 和司法部開始公開北韓試圖滲透美國加密貨幣產業的情況。 CoinDesk 發現證據表明,北韓IT 工人至少自2018 年以來一直在以化名為加密貨幣公司工作。
這並不新鮮
「我認為很多人錯誤地認為這是突然發生的新事情,」馬尼安說。 「這些人的GitHub 帳戶和其他相關資訊可以追溯到2016 年、2017 年、2018 年。」(微軟旗下的GitHub 是一個線上平台,許多軟體開發組織都使用它來儲存程式碼並在開發人員之間進行協作。
CoinDesk 使用各種方法將北韓IT 工人與公司聯繫起來。包括區塊鏈支付記錄、公開的GitHub 代碼貢獻、美國政府官員的電子郵件以及對相關公司的直接採訪。區塊鏈調查員ZachXBT 發現了正在調查的北韓最大支付網路之一,並在8 月發布了一份可疑的北韓開發人員名單。
過去,雇主因擔心引起不必要的公眾關注或法律後果而對此事保持沉默。但現在,在CoinDesk 發現了大量的付款記錄和其他證據後,許多人決定首次站出來分享他們的故事。揭示北韓試圖滲透加密貨幣產業的驚人成功和規模。
假文件
在僱用了Ryuhei(據稱是日本員工)後,Rust 營運的Truflation 迎來了大量新求職者。短短幾個月內,Rust 不知不覺又僱用了四名北韓開發商,他們聲稱居住在蒙特婁、溫哥華、休士頓和新加坡。
加密貨幣產業特別容易受到北韓IT 工人的破壞。勞動力是國際化的,加密貨幣公司比其他行業更傾向於僱用完全遠端(甚至匿名)的開發人員,以提高安全性。
CoinDesk 審查了加密貨幣公司從各種來源收到的北韓求職申請。包括Telegram 和Discord 等訊息平台、加密貨幣Jobs List 等加密貨幣求職入口網站以及Indeed 等求職網站。
他們最有機會找到工作的是那些真正新成立的團隊,他們也願意透過Discord 僱用員工。
數位貨幣包應用MetaMask 的產品經理泰勒·莫納漢(Taylor Monahan) 表示,他經常發布有關北韓加密貨幣活動的安全研究。 “他們沒有適當的背景調查流程。他們通常願意用加密貨幣支付。”
Rust 表示,他自己對Truflation 的所有新員工進行了背景調查。 “他們給了我們護照和身份證,給了我們他們的GitHub 帳戶,並進行了測試,之後我們基本上就僱用了他們。”
對於外行人來說,大多數偽造文件與真正的護照和Visa幾乎無法區分,儘管專家表示專業的背景調查服務可能會發現詐欺行為。
儘管新創公司不太可能使用專業背景調查服務,但「我們看到北韓IT 員工出現在較大的公司,無論是作為實際員工還是分包商,」莫納漢說。
向公眾隱藏
在一些案例中,CoinDesk 根據公開的區塊鏈數據發現了多家公司的北韓IT 員工。
2021 年,區塊鏈開發者Manian 為他的公司Iqlusion 尋求協助。他正在尋找自由程式設計師來幫助開發流行的Cosmos Hub區塊鏈專案。他找到了兩位可靠履行職責的應徵者。
Manian 從未見過自由工作者「Jun Kai」和「Sarawut Sanit」本人。他們之前曾合作開發一個由THORChain 資助的開源軟體項目,並告訴Manian 他們的總部位於新加坡。
「一年來我幾乎每天都和他們交談,」馬尼安說。 “他們完成了工作,說實話,我對他們感到非常滿意。”
FBI 正在打電話
在自由工作者完成這項工作兩年後,Manian 收到了一封來自FBI 特工的電子郵件,調查代幣轉帳似乎源自Iqlusion,並流向可疑的北韓數位貨幣包地址。事實證明,相關轉帳實際上是Iqlusion 向Kai 和Sanit 支付的款項。
聯邦調查局從未向馬尼安證實他僱用的開發商是北韓政權的特工。然而,根據CoinDesk 的分析,在2021 年和2022 年期間,Kai 和Sanit 的區塊鏈地址將其索賠指向了OFAC 制裁名單上的兩個人:Kim Sang Man 和Sim Hyon Sop。
據OFAC 稱,Sim 是Kwangson Banking Corp 的代表,該銀行是一家北韓銀行,負責洗錢IT 員工的資金,以幫助「為北韓的大規模殺傷性武器和彈道飛彈計劃提供資金」。看來Sarawut把他的所有收入都轉移到了Sim和其他相關的區塊鏈錢包。
還有幻影
Kai 向Kim 匯出的近800 萬美元中,Iqlusion 支付給Kai 的工資不到5 萬美元,其餘部分來自其他加密貨幣公司。例如,CoinDesk 發現Fantom 基金會(基金會開發了廣泛使用的Fantom區塊鏈)向「Jun Kai」和另一位與北韓有關的開發人員付款。
Fantom 基金會發言人告訴CoinDesk:「Fantom 確實已經確定了兩名可能與2021 年北韓有聯繫的外部人士。」「然而,所涉及的開發人員正在開發一個從未完成且從未部署的外部專案。 」
據Fantom 基金會稱,「這兩個人已被解僱,從未編寫過惡意程式碼,也從未訪問過Fantom 程式碼庫,因此Fantom 用戶沒有受到任何影響。」據該發言人稱,一名北韓工人試圖攻擊Fantom 的伺服器,但由於沒有必要的存取權限而沒有成功。
根據OpenSanctions 資料庫,直到2023 年5 月,Kim 與北韓有聯繫的區塊鏈位址才被任何政府公佈——這距離Iqlusion 和Fantom 支付款項已經過去了兩年多。
折扣
美國和聯合國分別於2016年和2017年制裁了北韓IT工人的就業。
在美國,向北韓工人支付工資是違法的,無論該人是否意識到。這項法律原則稱為「嚴格責任」。公司位於哪裡也不一定重要。對於在對北韓實施制裁的國家運營的任何公司來說,僱用北韓工人都可能面臨法律風險。
然而,美國和其他聯合國成員國迄今尚未起訴任何加密貨幣公司僱用北韓IT 工人。
美國財政部對總部位於美國的Iqlusion 展開調查,但馬尼安表示,調查結束時並未受到任何制裁。
到目前為止,美國當局在起訴這些公司方面一直很寬容——在某種程度上,他們認識到這些公司充其量只是一種異常複雜的身份盜竊形式的受害者。在最壞的情況下,這是一個極其羞辱的、長期的騙局。 MetaMask 專家莫納漢解釋說,除了法律風險之外,向北韓IT 工人支付工資「是錯誤的,因為我們實際上是在向那些被政權剝削的人支付工資」。
根據聯合國安理會一份615 頁的報告,北韓IT 工人只能保留工資的一小部分。報告稱,「低收入者可以保留薪資的10%,而高收入者可以保留最多30%」。雖然與北韓平均水平相比,這些工資可能仍然很高,但「我不在乎他們住在哪裡,」莫納漢說。 「如果我付錢給某人,而他們實際上強迫他們將全部薪水寄給他們的老闆,那會非常不舒服。如果他們的老闆是北韓政權,我會更煩惱。”
上市
CoinDesk 根據對OFAC 制裁實體的區塊鏈付款分析,確定了超過20 家可能僱用北韓IT 員工的公司。收到這些記錄的12 家公司向CoinDesk 證實,他們之前在員工中發現了可疑的北韓IT 工人。
一些公司因擔心法律後果而沒有發表進一步聲明。而其他人則同意分享他們的故事,希望其他人可以從他們的經驗中學習。在許多情況下,北韓員工一旦被雇用就更容易被識別。
專注於去中心化金融的計畫Injective 的執行長Eric Chen 表示,2020 年他簽約了一名自由開發者。但他很快就因表現不佳而被解僱。
「他沒有待多久,」陳說。 「你編寫了無法正常運作的糟糕程式碼。」直到去年,當美國「政府機構」聯繫Injective時,陳才清楚該員工與北韓有聯繫。
幾家公司告訴CoinDesk,在與北韓的聯繫曝光之前,他們已經解雇了這名員工。例如,由於性能不佳。
他們還每月更改一次Discord 或Telegram 用戶名
然而,北韓的IT 工作者與典型的開發人員相似,他們的技能差異很大。
一方面,有些員工出現,透過面試過程,然後就可以利用幾個月的薪水。
馬尼安說。 “但它還有另一面:你還可以在面試中遇到真正表現出出色技術知識的人。”
Rust 回憶說,在Truflation,他們有“一位非常優秀的開發人員”,自稱來自溫哥華。但後來事實證明他來自北韓。 「他實際上是一個非常年輕的小伙子,」拉斯特說。
感覺就像他剛從大學畢業。有點缺乏經驗,但非常熱情,非常興奮能有這樣的機會工作。
在另一個案例中,去中心化金融新創公司Cluster 在ZachXBT 提出證據顯示兩名開發人員與北韓有關後,於8 月解雇了兩名開發人員。
令人難以置信的是這些人知道多少。
Cluster 的創辦人(化名z3n)告訴CoinDesk。回顧過去,有「明顯的警訊」。例如,他們“每隔一周更改一次付款地址,大約每月更改一次他們的Discord 或Telegram 用戶名。”
網路攝影機已關閉
在接受CoinDesk 採訪時,許多雇主表示他們注意到了違規行為。當得知這些員工可能是北韓人後,這些問題就變得更容易理解了。
有時,這些跡像很微妙,例如員工的工作時間與指定工作地點的時區不符。
Truflation 等其他雇主已經意識到,員工實際上可以是多個偽裝成一個人的人。該人試圖透過關閉網路攝影機來隱藏這一點。 (幾乎都是男性。)
一家公司僱用了一名員工,他早上出席會議,但當天晚些時候似乎忘記了討論過的所有事情。當雇主意識到他實際上一直在與幾個人交談時,這種怪癖就變得更容易理解了。
當Rust 與一名擅長偵查犯罪支付網絡的投資者分享了他對「被指控的日本」員工Ryuhei 的擔憂時,該投資者很快就發現了另外四名疑似朝鮮IT 工人,他們也受僱於Truflation。
「我們立即切斷了與他們的聯繫,」拉斯特說。此外,他的團隊還對程式碼進行了安全審計,改善了背景調查流程,並更改了一些政策。新的指導方針之一是要求遠端辦公者打開攝影機。
價值300 萬美元的駭客攻擊
許多接受CoinDesk 採訪的雇主錯誤地認為北韓IT 工人獨立於該國駭客組織運作。然而,區塊鏈數據和與專家的對話表明,該政權的駭客活動和IT 工人往往密切相關。
2021 年9 月,Sushi 開發的加密貨幣代幣發行平台MISO 在廣為人知的駭客攻擊中損失了300 萬美元。 CoinDesk 發現的證據表明,這次攻擊與Sushi 僱用了兩名區塊鏈支付記錄可能與北韓相關的開發人員有關。
在攻擊發生時,Sushi 是新興去中心化金融(DeFi)世界中最熱門的平台之一。 SushiSwap 的投資超過50 億美元,主要作為「去中心化交易所」運作。允許用戶無需中介即可交易所加密貨幣。
Sushi 時任首席技術長Joseph Delong 將MISO 駭客攻擊追溯到了兩名幫助開發該平台的自由開發人員。致安東尼·凱勒(Anthony Keller) 和薩瓦·格魯伊奇(Sava Grujic) 的人。據Delong 稱,開發人員(他現在認為他們實際上是一個人或實體)在MISO 平台上放置了惡意程式碼,將資金重新導向到他們控制的錢包。
凱勒和格魯伊克
當Keller 和Grujic 受僱於Sushi DAO(管理Sushi 協議的去中心化自治組織)時,他們提供了新手開發人員典型的資格(即使不是令人印象深刻)。
凱勒以筆名“eratos1122”公開運營,但在申請開發MISO時,他使用了“安東尼·凱勒”這個名字,這似乎是他的真名。凱勒在簡歷中聲稱居住在喬治亞州蓋恩斯維爾,並擁有菲尼克斯大學電腦工程學士學位。 (大學沒有回應CoinDesk 的請求,以確認是否確實有同名的畢業生。)
凱勒在他的履歷中真實提到了他之前的工作。其中最令人印象深刻的是Yearn Finance,這是一種非常流行的加密貨幣投資協議,透過各種預先制定的投資策略為用戶提供興趣。 Yearn 的高級開發人員Banteg 證實,Keller 開發了一個名為Coordinape 的應用程序,Yearn 開發該應用程式是為了促進團隊之間的協作和支付。 (Banteg 表示Keller 的工作僅限於Coordinape項目,無法存取Yearn 的中央程式碼庫。)
據德隆介紹,凱勒向MISO 推薦了格魯伊克,兩人自我介紹為「朋友」。和凱勒一樣,格魯吉克也給了他假定的真實姓名,而不是線上筆名「AristoK3」。他自稱來自塞爾維亞,擁有貝爾格萊德大學資訊科技學士學位。他的GitHub 帳戶很活躍,他的履歷表列出了幾個較小的加密貨幣專案和遊戲開發新創公司的經驗。
合理懷疑
Rachel Chu 是Sushi 的前高級開發人員,在駭客攻擊之前曾與Keller 和Grujic 密切合作,她表示,甚至在攻擊發生之前,她就對這兩人感到「懷疑」。
儘管格魯伊克和凱勒聲稱生活在世界不同地區,但他們卻有著「相同的口音」。 「他們發短信的方式是一樣的,」楚說。 「每次我們說話時,你都能聽到一些背景噪音,就像在工廠一樣,」他補充道。楚記得看到凱勒的臉,但從未見過格魯吉克。據他說,凱勒的相機總是「放大」他的臉,所以你永遠看不出他背後的東西。
Keller 和Grujic 大約在同一時間停止為MISO 做出貢獻。 「我們相信安東尼和薩瓦是同一個人,」德隆說,「所以我們停止付錢給他們。」當時正值COVID-19 大流行最嚴重的時期,遠程加密貨幣開發人員冒充多人以獲取更多工資的情況並不罕見。
2021 年夏天Keller 和Grujic 被解僱後,Sushi 團隊未能撤銷他們對MISO 程式碼庫的存取權。
根據CoinDesk 提供的螢幕截圖,9 月2 日,Grujic 透過用戶名「Aristok3」在MISO 平台上植入了惡意程式碼,並將300 萬美元轉入一個新的數位貨幣包。
CoinDesk 對區塊鏈支付記錄的分析表明,凱勒、格魯伊奇和北韓之間可能存在聯繫。 2021 年3 月,凱勒在一條現已刪除的推文中發布了一個區塊鏈位址。 CoinDesk 發現了該地址、Grujic 的駭客地址以及Sushi 維護的與Keller 相關的地址之間的多筆交易。德隆說,Sushi 的內部調查最終得出結論,該頭銜屬於凱勒。
關係
CoinDesk 發現,該地址將大部分匯總資金發送至「Jun Kai」(Iqlusion 開發商,將資金轉移至OFAC 制裁名單上與Kim Sang Man 相關的地址)和另一個錢包,該錢包也可能充當朝鮮的代理(因為該部門也向金正恩轉帳)。
Sushi 的內部調查發現,這兩人經常使用俄羅斯的IP 位址,OFAC 稱朝鮮IT 工人有時在俄羅斯運營,這進一步支持了Keller 和Grujic 是朝鮮人的理論。 (凱勒履歷表中的美國電話號碼已無法使用,「eratos1122」的GitHub 和Twitter 帳號已被刪除。)
此外,CoinDesk 還發現證據表明,除了Keller 和Grujic 之外,Sushi 還同時僱用了另一名疑似北韓IT 承包商。該開發者被ZachXBT 識別為“Gary Lee”,化名“LightFury”,並將其收入轉移到“Jun Kai”和另一個與Kim 相關的代理地址。
在蘇希公開指責凱勒的化名「eratos1122」對這次襲擊負責並威脅要讓聯邦調查局介入後,格魯伊奇歸還了被盜的錢。雖然北韓IT 員工擔心保護假身分似乎有違常理,但似乎有些名字被重複使用。隨著時間的推移,他們透過為許多項目做出貢獻而建立了聲譽。他們這樣做可能是為了贏得未來雇主的信任。
有人可能認為,從長遠來看,保護安東尼凱勒的筆名更有價值。 2023 年,在壽司事件兩年後,一個名叫「安東尼凱勒」的人向Stefan Rust 的公司Truflation 提出了申請。嘗試聯繫名為“Anthony Keller”和“Sava Grujic”的人,但沒有成功。
北韓式的竊盜
據聯合國稱,北韓在過去七年中透過駭客攻擊竊取了價值超過30 億美元的加密貨幣。區塊鏈分析公司Chainaanalysis 在2023 年上半年追踪到的據信與朝鮮有關的黑客攻擊中,“大約一半涉及IT 員工的盜竊行為”,該公司發言人Madeleine Kennedy 表示。
北韓的網路攻擊通常與好萊塢電影中描述的駭客攻擊不同,在好萊塢電影中,蒙面程式設計師使用複雜的程式碼透過黑綠螢幕闖入主伺服器。
北韓的攻擊技術含量明顯較低。他們主要使用某種形式的社會工程技術,攻擊者獲得能夠存取系統所需金鑰的受害者的信任,然後使用簡單的方法(例如惡意電子郵件連結)來取得這些金鑰。
「到目前為止,我們從未見過北韓真正利用過這一漏洞,」莫納漢說。 “總是一樣的:社交操縱,感染設備,然後獲取私鑰。”
IT 員工處於協助北韓竊盜的理想位置,甚至可以獲得可用於破壞潛在目標的個人資訊。甚至可以直接存取充滿數位貨幣的軟體系統。
一系列的巧合
9 月25 日,當這篇文章即將發表時,CoinDesk 安排了與Truflation 負責人Rust 的視訊通話。目的是驗證一些之前分享的細節。 Rust 很困惑,遲到了15 分鐘才加入通話。就在這時,他的系統被駭客入侵了。
CoinDesk 聯繫了二十多個項目,這些項目似乎無意中僱用了北韓IT 工人。僅在過去兩週的報告期間內,就有兩個此類項目遭到駭客攻擊。 Truflation 和一款名為Delta Prime 的加密貨幣借貸應用程式。
現在確定這些攻擊是否與北韓IT 工人的無意使用直接相關還為時過早。
Delta Prime 於9 月16 日首次遭到攻擊。 CoinDesk 先前曾揭露將Delta Prime 與Naoki Murano 連接起來的付款和代碼貢獻。他是與北韓有聯繫的開發者之一,被化名的區塊鏈調查員ZachXBT 揭露。
該項目因「私鑰洩漏」而損失超過700 萬美元。達美航空Prime 沒有回應多次的請求。
當魯斯特講話時,數百萬美元從他的個人錢包中湧出。
這太可怕了。這筆錢是為了我孩子的教育和我的退休而留出來的。
Truflation 和Rust 最終損失了約500 萬美元。根據官方的解釋,攻擊的原因是私鑰被盜。
原文刊登在CoinDesk 上的英文版。
發佈在BitcoinBázis 頁面。
資訊來源:由0x資訊編譯自BITCOINBAZIS。版權所有,未經許可,不得轉載