朝鲜IT工人如何渗透加密货币行业

近期一项调查揭示,多家知名加密货币公司在不知情的情况下雇佣了来自朝鲜的IT工作者。这些工人使用假身份成功通过面试和背景调查,为公司提供真实的工作。然而,他们的真实目的是为朝鲜政权获取资金和进行网络攻击。

主要发现

• 至少十多家加密公司无意中雇用了朝鲜IT工人,包括Injective、ZeroLend、Fantom、Sushi、Yearn Finance和Cosmos Hub等知名项目。

• 这些工人使用精心伪造的身份证件和工作经历,成功通过了公司的背景审查。

• 雇佣朝鲜工人在美国等实施制裁的国家是违法的,但目前尚未有公司因此被起诉。

• 多家雇用朝鲜IT工人的公司后来遭到黑客攻击,损失巨大。

朝鲜IT工人的特征

• 通常使用日本、新加坡等亚洲国家的身份

• 经常更换付款地址和社交媒体账号

• 视频通话时可能会关闭摄像头

• 工作时间与声称所在地时区不符

• 有时一个"人"可能由多人扮演

案例分析:Sushi遭黑客攻击

2021年,去中心化交易所Sushi的MISO平台遭黑客攻击,损失300万美元。调查显示,这与Sushi此前雇用的两名开发者Anthony Keller和Sava Grujic有关。

• 两人提供了看似真实的简历和工作经历

• 但他们的行为模式存在异常,如口音相同、背景噪音类似

• 区块链支付记录显示他们与朝鲜有关联

• 他们利用未被撤销的代码访问权限植入恶意代码,窃取资金

影响及启示

• 朝鲜IT工人渗透加密行业的规模和成功程度远超预期

• 他们不仅窃取资金,还可能为大规模网络攻击做准备

• 加密公司需要加强背景审查,提高警惕

• 远程工作模式增加了识别风险的难度

• 行业需要更好的信息共享机制来应对这一威胁