纽约联邦法院最近判了两个案子,刑期加起来快17年。罪名不是黑客入侵,而是帮人"上班"——帮朝鲜程序员冒充美国人,远程混进100多家美国公司。

这听起来像黑色喜剧,但司法部文件里每个数字都冷冰冰:500万美元赃款、80多个被盗身份、至少300万美元善后成本。更讽刺的是,这些"幽灵员工"干的活,很多公司还挺满意。

打开网易新闻 查看精彩图片

一、笔记本电脑农场:一场持续三年的身份魔术

Kejia Wang和Zhenxing Wang,两个持美国国籍的华人,2021年开始经营一门奇怪生意。

他们在全美租了多处场地,专门接收企业寄来的办公电脑。朝鲜程序员在亚洲远程登录,Wang氏兄弟负责让一切看起来"人在美国"——开机、插网线、偶尔移动鼠标模拟真人活动。

联邦探员后来突袭搜查,缴获了几十台笔记本、远程接入设备和一堆空壳公司的域名。

这个"笔记本农场"(laptop farm)的运作模式,本质上是对远程办公信任链的精准爆破。

企业招人时验证的是身份文件和面试表现;入职后验证的是交付成果。Wang氏兄弟卡在中间环节——用真美国人的社保号、学历、过往履历通过背调,再用朝鲜程序员的实际产出应付考核。

三年间,他们帮同伙渗透了100多家公司,包括若干财富500强。受害者名单没公开,但想想哪些大厂2021-2024年疯狂扩招远程岗,范围不难猜。

二、空壳公司与洗钱管道:700万 vs 5000万的利益分配

赃款流向暴露了这套系统的精巧设计。

Wang氏兄弟注册了Hopana Tech LLC、Independent Lab LLC等多家空壳公司。这些"企业"没有员工、没有业务,只有一个功能——接收"员工"工资,再转给海外。

500万美元总收入里,兄弟俩抽成近70万美元,比例约14%。剩下的430万流向朝鲜,用于"资助朝鲜民主主义人民共和国及其武器项目"。

这个分成比例值得玩味。作为"基础设施提供商",Wang氏兄弟承担的是实体风险——租场地、收快递、应对偶尔的IT抽查。而朝鲜程序员提供的是人力资本,以及被制裁国家特有的"不可追踪性"。

14%的抽成算不算高?对比毒品走私的中间商通常抽三成以上,这算"薄利多销"。但考虑这是无本生意,且刑期动辄十年起步,性价比又显得微妙。

司法部特别指出,案件造成"关键数据泄露"和至少300万美元修复成本。这意味着部分"幽灵员工"在任职期间窃取了公司机密——可能是源代码、客户数据,或更敏感的东西。

远程员工的权限管理,在2021-2024年的扩招潮里明显滞后了。

三、身份盗窃的工业化:80个美国人的"数字分身"

案件最棘手的部分,是那80多个被盗用的真实身份。

这些受害者不是随机选的。联邦检察官提到,犯罪分子"窃取并冒用身份"以获得IT岗位——说明目标是有技术背景、履历能过筛的真实从业者。

可能的来源包括:暗网购买的数据泄露包、钓鱼攻击获取的完整档案、或者针对特定人群的精准社工。一个合格的"身份产品"需要姓名、社保号、学历证明、工作经历,甚至过往项目的GitHub链接。

受害者往往在完全不知情的情况下,成了某家大厂的"前员工"。直到税务表格异常、信用记录受损,或者FBI找上门,才发现自己的数字分身领过两年工资。

这种身份盗窃的工业化,比传统诈骗更难防范。因为攻击目标不是受害者的银行账户,而是受害者的"职业信用"——一种更隐蔽、更难冻结的资产。

对企业HR来说,背调系统的设计假设是"身份要么真要么假"。但面对"真身份+假真人"的组合,传统验证手段集体失效。

四、制裁套利:朝鲜IT工人的"比较优势"

把视角拉远,这本质上是一起制裁套利案件。

朝鲜每年向海外输出数千名IT工人,为国家创造硬通货收入。联合国专家小组2023年估计,这一群体年收入在1.5亿至6亿美元之间——是朝鲜规避国际制裁的重要渠道。

这些程序员的技术水平参差不齐,但有一个独特优势:他们的劳动力成本极低,且对雇主零议价能力。Wang氏兄弟案中,430万美元流向朝鲜,实际到程序员手里的比例未知,但几乎可以确定远低于市场薪资。

对美国公司而言,他们以为招的是"高性价比远程人才";对朝鲜而言,这是突破金融封锁的现金管道;对Wang氏兄弟而言,这是14%毛利率的物流生意。

三方各取所需,直到司法部介入。

国务院现在悬赏500万美元,通缉另外8名在逃同伙——主要是负责资金转移的财务中介。这说明案件的核心网络仍在运转,Wang氏兄弟只是美国境内的执行末梢。

五、远程办公的信任危机:从疫情红利到风控黑洞

这起判决发生在远程办公的转折点上。

2021年,硅谷大厂还在争论"永久远程"是否可行;2024年,亚马逊、Meta、谷歌已陆续收紧政策。朝鲜笔记本农场案的曝光,给这个趋势添了一个非公开但有力的注脚。

FBI和国土安全调查局在声明中强调,"各组织必须对远程员工欺诈保持警惕"。但具体怎么防?文件没细说,行业也在摸索。

一些可能的技术手段:设备指纹识别(检测登录地点与收货地址不符)、行为生物特征(键盘节奏、鼠标移动模式)、或者更激进的——要求定期视频验证物理工作环境。

但这些都会增加摩擦成本,侵蚀远程办公的核心吸引力。

更深层的问题在于,远程办公的信任模型假设"人"是可验证的实体。当深度伪造(deepfake)面试、AI实时换脸、合成语音普及后,这个假设本身可能过时。

Wang氏兄弟用的还是相对原始的手段——真人收快递、物理操作电脑。下一代攻击者可能完全不需要美国境内的"农场主"。

Kejia Wang被判108个月,Zhenxing Wang被判92个月。刑期差异可能反映认罪合作程度,也可能只是法官的量刑裁量。

但两个人加起来近17年的牢狱,换500万赃款、70万个人所得——这笔账怎么算都亏。除非他们真的以为,在远程办公的混沌期,这套系统能永远运转下去。

最讽刺的可能是那些"被雇佣"的公司。他们付了工资,收到了代码,甚至在某些季度里依赖这些产出。直到调查人员上门,才发现过去两年的明星员工是个地理意义上的幽灵。

这大概是远程办公时代最黑色幽默的绩效评估:活儿干得不错,就是人不存在。