朝鮮IT工人如何滲透加密貨幣行業

近期一項調查揭示,多家知名加密貨幣公司在不知情的情況下僱傭了來自朝鮮的IT工作者。這些工人使用假身分成功通過面試和背景調查,爲公司提供真實的工作。然而,他們的真實目的是爲朝鮮政權獲取資金和進行網路攻擊。

主要發現

• 至少十多家加密公司無意中僱用了朝鮮IT工人,包括Injective、ZeroLend、Fantom、Sushi、Yearn Finance和Cosmos Hub等知名項目。

• 這些工人使用精心僞造的身分證件和工作經歷,成功通過了公司的背景審查。

• 僱傭朝鮮工人在美國等實施制裁的國家是違法的,但目前尚未有公司因此被起訴。

• 多家僱用朝鮮IT工人的公司後來遭到黑客攻擊,損失巨大。

朝鮮IT工人的特徵

• 通常使用日本、新加坡等亞洲國家的身分

• 經常更換付款地址和社交媒體帳號

• 視頻通話時可能會關閉攝像頭

• 工作時間與聲稱所在地時區不符

• 有時一個"人"可能由多人扮演

案例分析:Sushi遭黑客攻擊

2021年,去中心化交易所Sushi的MISO平台遭黑客攻擊,損失300萬美元。調查顯示,這與Sushi此前僱用的兩名開發者Anthony Keller和Sava Grujic有關。

• 兩人提供了看似真實的簡歷和工作經歷

• 但他們的行爲模式存在異常,如口音相同、背景噪音類似

• 區塊鏈支付記錄顯示他們與朝鮮有關聯

• 他們利用未被撤銷的代碼訪問權限植入惡意代碼,竊取資金

影響及啓示

• 朝鮮IT工人滲透加密行業的規模和成功程度遠超預期

• 他們不僅竊取資金,還可能爲大規模網路攻擊做準備

• 加密公司需要加強背景審查,提高警惕

• 遠程工作模式增加了識別風險的難度

• 行業需要更好的信息共享機制來應對這一威脅