北韓假 IT worker 打入科技公司:remote hiring 已經係安全戰線
Tech News

北韓假 IT worker 打入科技公司:remote hiring 已經係安全戰線

圖片:via TechCrunch — https://techcrunch.com/2026/06/10/north-koreans-behind-nearly-half-of-us-tech-industry-hacks-says-crowdstrike/
TechLab 編輯部(譯)·

AI deepfake 面試令 HR 同 dev team 都要識防守

呢次唔係普通釣魚

CrowdStrike 嘅 2026 Technology Threat Landscape Report 話,喺 2025 年 4 月 1 日至 2026 年 3 月 31 日,FAMOUS CHOLLIMA 佔科技業 state-sponsored hands-on-keyboard 操作 47%。呢個數字要睇清楚:係 CrowdStrike 觀察到嘅樣本同分類口徑,唔係全行業絕對比例。但佢反映一件事:remote hiring 已經變成攻擊面,唔止係 HR 流程。

手法唔一定係爆漏洞。假 developer 可以拎住偷嚟嘅身份文件、真人或 AI face-swap 影像去視像面試,搵 facilitator 收公司 laptop,再用 remote desktop / KVM 裝置返工。入到去之後,佢哋唔一定即刻落 malware;更實際係拎人工、讀 code repo、偷 token、試 cloud 權限,等俾人發現先用資料勒索。

CrowdStrike 官方威脅地圖式示意圖,顯示全球威脅背景

圖片:CrowdStrike

AI 令驗證更難,但唔係冇辦法

FBI 2025 PSA 已經提到,北韓 IT workers 會用 AI 同 face-swapping 技術遮住真身份。即係面試嗰個樣,可能唔等於實際做工嗰個人。所以驗證唔可以停喺 CV、LinkedIn、GitHub star;要查嘅係一致性:

  • 身份文件、地址、電話、email、付款戶口有冇重複或突然改
  • 視像面試要求唔遮背景,問幾條地點、學校、舊公司細節
  • 未過 background check 前,唔好開 GitHub、cloud、production、wallet 權限

Chainalysis 文章主圖,用示意相表達 crypto hack 同資金流向

圖片:Chainalysis

Web3 同 SaaS 團隊最易中招

Chainalysis 估算,North Korea-linked hackers 喺 2025 年至少偷走 20.2 億美元 crypto;CrowdStrike 報告亦點名 blockchain developer 同有 crypto 能力嘅公司係高風險。對 startup 嚟講,風險落喺權限:contractor 一入職就攞到 repo、CI/CD secret、AWS key、Slack history、wallet signing 流程。細 team 趕 deadline,好易將 onboarding 當成信任投票;攻擊者最鍾意呢種快。

香港公司唔需要當成「本地爆發」睇,公開資料暫時冇顯示香港公司已中招。但如果你請海外 remote dev、用外判 team、做 Web3 或 SaaS,場景係一樣:身份、設備、repo、cloud、錢包權限全部要拆開。最少做到 role-based access、短期 token、code review、SaaS audit log、離職即 revoke,仲要定期睇有冇非預期地區登入。

我嘅判斷

呢件事對科技公司嘅教訓好直接:remote-first 冇錯,但 remote-first 唔等於 trust-first。招聘要同 security 共用訊號,HR 見到古怪付款、IT 見到 remote desktop、dev lead 見到 repo clone 激增,要有人可以串埋一齊睇。安全做得好嘅 team 會用流程控制爆炸半徑:新入嚟嘅人就算身份未完全坐實,都冇辦法一晚搬走半間公司。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook