
北韓假 IT worker 打入科技公司:remote hiring 已經係安全戰線
AI deepfake 面試令 HR 同 dev team 都要識防守
呢次唔係普通釣魚
CrowdStrike 嘅 2026 Technology Threat Landscape Report 話,喺 2025 年 4 月 1 日至 2026 年 3 月 31 日,FAMOUS CHOLLIMA 佔科技業 state-sponsored hands-on-keyboard 操作 47%。呢個數字要睇清楚:係 CrowdStrike 觀察到嘅樣本同分類口徑,唔係全行業絕對比例。但佢反映一件事:remote hiring 已經變成攻擊面,唔止係 HR 流程。
手法唔一定係爆漏洞。假 developer 可以拎住偷嚟嘅身份文件、真人或 AI face-swap 影像去視像面試,搵 facilitator 收公司 laptop,再用 remote desktop / KVM 裝置返工。入到去之後,佢哋唔一定即刻落 malware;更實際係拎人工、讀 code repo、偷 token、試 cloud 權限,等俾人發現先用資料勒索。

圖片:CrowdStrike
AI 令驗證更難,但唔係冇辦法
FBI 2025 PSA 已經提到,北韓 IT workers 會用 AI 同 face-swapping 技術遮住真身份。即係面試嗰個樣,可能唔等於實際做工嗰個人。所以驗證唔可以停喺 CV、LinkedIn、GitHub star;要查嘅係一致性:
- 身份文件、地址、電話、email、付款戶口有冇重複或突然改
- 視像面試要求唔遮背景,問幾條地點、學校、舊公司細節
- 未過 background check 前,唔好開 GitHub、cloud、production、wallet 權限

圖片:Chainalysis
Web3 同 SaaS 團隊最易中招
Chainalysis 估算,North Korea-linked hackers 喺 2025 年至少偷走 20.2 億美元 crypto;CrowdStrike 報告亦點名 blockchain developer 同有 crypto 能力嘅公司係高風險。對 startup 嚟講,風險落喺權限:contractor 一入職就攞到 repo、CI/CD secret、AWS key、Slack history、wallet signing 流程。細 team 趕 deadline,好易將 onboarding 當成信任投票;攻擊者最鍾意呢種快。
香港公司唔需要當成「本地爆發」睇,公開資料暫時冇顯示香港公司已中招。但如果你請海外 remote dev、用外判 team、做 Web3 或 SaaS,場景係一樣:身份、設備、repo、cloud、錢包權限全部要拆開。最少做到 role-based access、短期 token、code review、SaaS audit log、離職即 revoke,仲要定期睇有冇非預期地區登入。
我嘅判斷
呢件事對科技公司嘅教訓好直接:remote-first 冇錯,但 remote-first 唔等於 trust-first。招聘要同 security 共用訊號,HR 見到古怪付款、IT 見到 remote desktop、dev lead 見到 repo clone 激增,要有人可以串埋一齊睇。安全做得好嘅 team 會用流程控制爆炸半徑:新入嚟嘅人就算身份未完全坐實,都冇辦法一晚搬走半間公司。
參考來源
- TechCrunch — North Koreans behind nearly half of US tech industry hacks, says CrowdStrike — original report
- CrowdStrike 2026 Technology Threat Landscape Report — primary source,核對報告期、47% 口徑、科技業攻擊面同防守建議。
- Famous Chollima Adversary Profile | CrowdStrike — 補背景:FAMOUS CHOLLIMA 至少自 2018 年活躍,主要目標係用假 IT 工作賺取收入。
- FBI IC3: North Korean IT Workers Conducting Data Extortion — 核對 AI / face-swapping 面試、GitHub code repo 外洩同 least privilege 建議。
- FBI IC3: North Korean IT Worker Threats to U.S. Businesses — 核對 laptop farm、U.S. facilitator、remote desktop、第三方外判招聘風險。
- Justice Department Announces Actions to Combat North Korean Remote IT Worker Schemes — 案例背景:2025 年美國執法行動、逾 100 間公司、laptop farm 同假身份就業。
- Chainalysis: 2025 Crypto Theft Reaches $3.4 Billion — 核對 2025 年北韓相關 crypto 盜竊最少 20.2 億美元嘅估算。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







