朝鲜人使用假名字和脚本来获取远程IT工作赚取现金 | 路透社

James Pearson

2023-11-21

一份经过编辑的朝鲜IT工作者的在线简历显示在2023年11月20日路透社获得的一份报告的截图中。美国网络安全研究平台Palo Alto Networks Unit 42 /路透社提供的照片

伦敦，11月21日(路透社) - 朝鲜IT工作者在西方科技公司寻求就业时，使用假名字、虚假的LinkedIn个人资料、伪造的工作文件和模拟面试脚本，部署复杂的欺骗手段来获得聘用。

根据路透社审阅的文件、对一名前朝鲜IT工作者的采访以及网络安全研究人员的说法，要在朝鲜以外的地方找到工作，秘密为这个与世隔绝的国家赚取硬通货，需要高度发达的策略来说服西方的招聘经理。

根据美国、韩国和联合国的说法，朝鲜已经派遣数千名IT工作者出国，这一努力在过去四年加速，以为平壤的核导弹计划筹集数百万美元。

一份朝鲜软件开发人员使用的面试脚本中写道：“人们可以自由表达想法和观点”，并提供了如何描述“良好的企业文化”的建议。在朝鲜，自由表达想法可能会导致监禁。

这些脚本共30页，是由Palo Alto Networks（PANW.O）的研究人员发现的，这是一家美国网络安全公司，他们在网上发现了一批内部文件，详细描述了朝鲜远程IT劳动力的工作情况。

这些文件包含数十份虚假简历、在线档案、面试记录和伪造身份，朝鲜工人利用这些来申请软件开发工作。

路透社在泄露的暗网数据中发现了进一步的证据，揭示了朝鲜工人用来说服公司雇佣他们的一些工具和技术，这些工作地点遍布智利、新西兰、美国、乌兹别克斯坦和阿拉伯联合酋长国。

这些文件和数据揭示了朝鲜当局为确保这一计划的成功所付出的巨大努力和欺骗行为，这一计划已成为这个资金短缺的政权的一条重要外汇生命线。

朝鲜的联合国代表团未对置评请求作出回应。

美国司法部（DOJ）在2022年表示，远程IT工作者的收入可能是在海外从事建筑或其他体力劳动的朝鲜劳工的十倍以上，而他们的团队年收入可能超过300万美元。

路透社无法确定这一计划多年来产生了多少收入。

一些脚本旨在为工人准备面试问题，其中包括需要远程工作的借口。

“理查德”，一名高级嵌入式软件开发人员，表示“几周前我（飞）到了新加坡。我父母感染了新冠病毒，我（决定）和家人在一起一段时间。现在，我计划在三个月后回洛杉矶。我在考虑现在就开始远程工作，然后回洛杉矶时再正式上班。”

最近叛逃的一名朝鲜IT工作者也检查了这些文件，并向路透社确认了它们的真实性：“我们每年会制作20到50个假档案，直到我们被雇佣为止，”他说。

他查看了脚本、数据和文件，并表示这正是他之前一直在做的事情，因为他认出了使用的策略和技术。

“一旦我被雇佣，我会创建另一个假档案来找第二份工作，”这位工作者说，他要求匿名，引用了安全顾虑。

10月份，美国司法部和联邦调查局（FBI）查封了17个网站域名，据称这些域名是朝鲜IT工作者用来欺诈企业和非法获取150万美元资金的。

美国司法部表示，隐藏在美国公司内的朝鲜开发人员利用化名电子邮件和社交媒体账户，代表受制裁的朝鲜实体每年通过这一计划非法获取数百万美元。

“对朝鲜政府来说存在风险，因为这些特权工作者暴露于世界和他们国家被强制落后的危险现实之中，”与叛逃者合作的“北韩自由”组织的Sokeel Park说。

现金

去年，美国政府表示，朝鲜IT工作者主要位于中国和俄罗斯，还有一些在非洲和东南亚，每年可以赚取高达30万美元。

根据他的经验，这位前IT工作者表示，预计所有人至少能赚到10万美元，其中30-40%会汇回平壤，30-60%用于开销，10-30%由工人自己留下。

他估计在海外有大约3000人和他类似，在朝鲜境内还有另外1000人。

“我是为了赚取外汇而工作的，”他告诉路透社。“每个人情况不同，但基本上，一旦你找到远程工作，你可以工作至少六个月，或者长达三到四年。”

“当你找不到工作时，你就自由职业了。”

帕洛阿尔托的Unit 42网络研究部门的研究人员在调查朝鲜黑客针对软件开发人员的活动时发现了这一情况。

Unit 42表示，其中一名黑客在一台服务器上暴露了这些文件，表明朝鲜的黑客与其IT工作者之间存在联系，尽管叛逃者表示间谍活动只针对少数人：“黑客是另外培训的。这些任务不会交给我们这样的人，”他说。

不过，还是存在交叉。美国司法部和联邦调查局警告称，朝鲜的IT工作者可能利用权限来攻击他们的雇主，一些泄露的简历显示有加密货币公司的经验，这个行业长期以来一直是朝鲜黑客的目标。

身份调查公司Constella Intelligence的数据显示，其中一名工作者在美国、英国、日本、乌兹别克斯坦、西班牙、澳大利亚和新西兰有超过20个自由职业网站的账户。

工人未回复通过电子邮件发出的评论请求。

从暗网泄露的数据汇编的数据还显示了一个在网站上销售数字模板以制作逼真假身份证明文件（包括美国驾照、签证和护照）的账户，路透社发现。

Unit 42发现的文件包括14个身份的简历、伪造的美国绿卡、面试剧本，以及一些工人购买了访问合法在线档案的证据，以显得更真实。

在新加坡寻求远程IT工作的“Richard”似乎指的是一个名为“Richard Lee”的伪造档案，与绿卡上的姓名相同。美国国土安全部未回复评论请求。

路透社发现了一个Richard Lee的LinkedIn账户，该账户有相同的个人资料照片，列出了在数字身份验证公司Jumio的工作经历。

“我们没有Richard Lee是Jumio的现任或前任员工的记录，”Jumio的发言人说。“Jumio没有任何证据表明该公司曾经有朝鲜员工。”

路透社向LinkedIn账户发送了消息寻求评论，但未收到回复。在收到路透社的评论请求后，LinkedIn删除了该账户。

“我们的团队使用各种来源的信息来检测和删除假账户，就像我们在这个案例中所做的那样，”一位发言人说。