[WSJ] 朝鲜黑客伪装程序员，潜伏美企盗走百万加密资产

朝鲜黑客伪装程序员，潜伏美企盗走百万加密资产

Robert McMillan | 摄影：David Walter Banks for WSJ

4 - 5 minutes

Marlon Williams（身穿白色T恤）在亚特兰大区块链中心的社区工作空间，摄于上周。

Pemba Sherpa一开始似乎是个很棒的员工。他最初是一名时薪35美元的程序员，工作积极主动，为老板Marlon Williams优化了一款应用。但几年后Williams解雇了他，认为他很可能是个骗子。

周一，联邦主管部门指控Sherpa做了更坏的事。根据法庭文件和网络调查人员的说法，这名自称Sherpa的男子实际上叫Kim Kwang Jin，是一名盗用身份的朝鲜网络罪犯。他所在的团伙行走全球，想方设法为遭受严厉制裁的朝鲜政府创收。他们的首选方式是赚取薪水并窃取雇主的钱财。

“这不是简单的骗局，而是一个长期阴谋，”美国联邦调查局(Federal Bureau of Investigation, 简称FBI)特工Daniel Polk说。

在周一公布的联邦起诉书中，Jin和三名均为朝鲜人的同伙被控五项电信欺诈和洗钱罪。被起诉的还有Kang Tae Bok、Jong Pong Ju和Chang Nam Il。

这些人目前仍然在逃，但FBI和美国司法部的官员周一表示，他们正在寻找机会逮捕这些人。他们还宣布了对涉嫌帮助过这些朝鲜人的人员的指控，搜查分布在16个州的29个“笔记本电脑农场”，据称这些“农场”帮助朝鲜人登录他们在美国的工作账户。周一，记者向朝鲜驻纽约联合国代表团提出的置评请求未获回应。

Williams估计，在20个月里，他向Sherpa及其同伙支付了近40万美元的工资。他说，这些员工还利用自己受信任职位的便利窃取了超过100万美元的加密货币。

“我完全不知道怎么会这样，”Williams说。“我真的以为他只是个心怀不满的员工。”

在很多方面，Williams都是Sherpa骗局的完美目标。Williams是加密货币的忠实信徒，远程工作和匿名在他的世界里司空见惯，因此他毫不犹豫地雇佣了一位素未谋面、远在半个地球之外的程序员。

过去五年里，朝鲜已经建立起一支由数千名非法劳工组成的小规模队伍，他们散布到全球各地，从毫无戒心的西方公司赚取了数亿美元薪水，同时通过盗窃和勒索造成了进一步的损害。他们的主要目标是筹集资金。但FBI称，由于这些员工在工作期间还会下载知识产权，他们的工作就成了间谍和骗子的奇怪混合体。

根据法庭文件，近年来，他们已在多家科技公司、一家大型电视网络、一家“具代表性的美国汽车制造商”和一家大型娱乐公司等地方谋得了工作。

“大家好”

Williams第一次收到Sherpa的消息是在2020年8月，那时正值新冠疫情最严重的时候。当时正在找工作的Sherpa通过一个Telegram讨论群组主动联系了Williams。

“大家好。希望各位一切安好，注意安全，”他写道。“我叫Pemba，是一名资深全栈工程师，拥有超过七年的专业经验。”

Sherpa的消息没有得到回应，但他很执着。他开始给Williams发私信。Williams说：“他在领英(LinkedIn)上的个人资料写得非常专业，他还有一个GitHub账户。”

一个月后，Williams需要找一名软件开发人员。他就想到了Pemba，并给他发了条信息。

Williams写道：“嘿，我可能有个项目需要你帮忙。”Sherpa的工作做得很出色，他迅速重写并优化了一个加密货币项目的用户界面。到了那年的10月份，当Williams想找一个开发人员来帮助他实现下一个宏大构想时，他雇用了Sherpa。

Williams是一位加密货币领域的长期爱好者，自2018年以来便一直活跃在亚特兰大的加密货币社区。到2020年，他发现了一种方法，可以减少一种在加密货币世界中日益猖獗的欺诈行为。这种欺诈行为被称为“抽地毯”骗局(rug pull)，通常指的是不择手段的软件开发人员炮制出看似前景广阔的项目，以此获取有时甚至高达数十万美元的种子投资资金，来启动这些项目。然而，这些骗子根本不会交付任何实质代码，而是直接卷款跑路。

加密货币合约

Williams创办了一家如今名为Starter Labs的公司，该公司将使用智能合约来确保软件开发人员在交付代码之前拿不到投资资金。到目前为止，该项目已经获得超过4,500万美元的投资。

在Williams所处的加密圈，开发人员通常使用化名工作。他说：“遇到一个自称约翰尼·火箭(Johnny Rocket)的人也再平常不过。”

在线上聊天时，Sherpa稍微透露了一些他的个人生活。他毕业于阿联酋的沙迦大学(University of Sharjah)。他将近40岁，有一个女朋友，他喜欢带她去逛商场。Williams说：“Sherpa的父亲是尼泊尔人，母亲是韩国人；他在韩国长大，但后来搬到了迪拜。”

起初，Sherpa对加密货币智能合约这个神秘的领域知之甚少，所以Williams亲自编写代码，使用一种名为Solidity的编程语言完成了代码编写。

但后来，到了2021年3月的某一天，Sherpa说他正在提升自己的水平。“嘿，”他告诉Williams说。“过去一个月左右，我一直在学习Solidity，我觉得我现在真的已经很擅长了。”这让Williams大吃一惊。

Williams让Sherpa开发了一个锁仓工具，这是一种通过智能合约保障代币安全的技术方案。这段代码不仅零错误运行，而且编写效率也很高，为Williams节省了大量时间。Williams说：“他干得真的很出色。”

化名“Pastry Baker”

到2021年夏天，Williams任命Sherpa为他那家12人公司的首席技术官。此时Sherpa已是管理层，并开始引进他自己的程序员。

其中一人化名Pastry Baker。Sherpa说此人是他的表亲。根据起诉书中的信息以及Williams提供的信息，此人实际是Jong Pong Ju。

安全公司Palo Alto Networks的咨询总监Evan Gordenker说，一些朝鲜IT工作者的工作条件很艰苦，每天在持续监视下工作17个小时。

但Sherpa的团伙似乎有较大的自主权。

从去年开始，匿名研究人员开始发布有关Sherpa和其他被指控的朝鲜IT工作者的信息，追踪到他们在老挝租下的一套有14个房间的爱彼迎(Airbnb)民宿，并发布了他们在俄罗斯符拉迪沃斯托克的餐馆和体育赛事上的照片。根据区块链分析公司TRM Labs的数据，这个团队每年为朝鲜创收至少1,000万美元。

Gordenker说：“时至今日，他们仍在相当多的加密货币公司任职。”

回想起来，Williams认为Sherpa实际上可能是其团伙成员的集合体。有时，Sherpa似乎完全不记得他们过去的谈话。“我当时凭直觉感到有些不对劲，” Williams回忆道。“‘伙计，我们刚刚还在聊这事。’”

作为首席技术官，Sherpa得以介入Starter Labs的资金流。Williams说，当投资者为项目注资时，Sherpa就能接触到这些资金。到2021年秋天，Sherpa已安然无事地从自己的钱包中转移了超过50万美元资金。“我那时越来越信任他，”Williams说，“在我心里，我们已经成了朋友。”

信任破裂

2021年10月，在一个项目丢失了3万美元后，Williams开始对Sherpa失去信任。但由于Sherpa的钱包与太多项目相关联，Williams一时无法与Sherpa一刀两断。Sherpa和Williams花了数月时间才解除合作关系。

到了2022年3月份，一切都爆发了。

Williams说，Sherpa提取了数十万美元，并“开始试图洗钱”。起初，Sherpa称黑客攻击是技术故障所致，并极力辩称自己是无辜的。然后他又把责任推到Pastry Baker身上，但Williams不相信他。Williams说：“在那之后不久，他删除了我们所有的聊天记录。”然后Sherpa删除了自己的领英个人资料，并消失了。

Williams向FBI报了案。他在迪拜聘请了一名私家侦探，试图找到有关Sherpa的信息。在3万美元失踪后，Sherpa的态度变得“极度戒备”。Williams表示：“我当时真以为这只是心怀不满的员工搞的鬼。”

在那次黑客攻击发生近三年后，FBI联系了Williams，向他通报了最新消息。据Williams说，他们表示：“我们可能无法追回任何资金，但我们确实知道这是谁干的，是一个团伙。”“他们说是朝鲜的IT工作者。”

如今，Williams不再热衷加密货币圈的匿名文化。“我再也不会和我不认识的开发人员合作了，”他说。“我必须见到你的妻子、你的家人、你的孩子。我们必须一起吃午饭。”



[0] 盗用身份的朝鲜网络罪犯: https://cn.wsj.com/articles/north-korea-remote-jobs-511beb73
[1] 小规模队伍: https://cn.wsj.com/articles/WP-WSJS-0002026624
[2] 经济学人中文版: https://t.me/econo202


https://cn.wsj.com/articles/%E6%9C%9D%E9%B2%9C%E9%BB%91%E5%AE%A2%E4%BC%AA%E8%A3%85%E7%A8%8B%E5%BA%8F%E5%91%98-%E6%BD%9C%E4%BC%8F%E7%BE%8E%E4%BC%81%E7%9B%97%E8%B5%B0%E7%99%BE%E4%B8%87%E5%8A%A0%E5%AF%86%E8%B5%84%E4%BA%A7-282ef316

2025-07-02T15:01:25+0000

--
Mobot

If you have any comments on this article, feel free to reply to this post. However, for feedback on the bot, please post in the cn.fan group.