远程办公最荒诞的骗局终于被揭穿了——不是AI换脸,不是深度伪造,是物理层面的"肉身代打卡"。
两个新泽西人买了几十台笔记本,摆在自家屋里24小时开机。屏幕前坐着的是朝鲜程序员,键盘那头是美国公司的HR。三年时间,这个"笔记本农场"帮朝鲜卷走500万美元,两个中间商抽成60万。
更离谱的是,这80多个被盗用的美国身份,成功渗透了100多家公司,包括多家财富500强。
这不是科幻片情节。美国司法部刚判完:Kejia Wang(王科佳,音译)9年,Zhenxing Wang(王振兴,音译)7年8个月,外加三年监外看管。60万非法所得全部没收。
国家安全助理司法部长John A. Eisenberg的原话很直接:「多年来,被告通过协助朝鲜演员实施欺诈性计划,在美国公司的工资单上安插朝鲜IT工人,进入美国计算机系统,从而危害我们的国家安全。」
但故事真正有趣的部分,是这场骗局怎么运作的——以及为什么能持续三年才被发现。
笔记本农场:远程办公时代的物理漏洞
整个操作的核心,是一个被忽视的技术细节:美国公司验证远程员工身份时,往往依赖IP地址和地理位置。
Kejia和Zhenxing的解决方案极其原始:买电脑、租房子、拉网线。
他们在新泽西州维持着多个"工作站",每台笔记本对应一个被盗用的美国身份。朝鲜程序员通过远程桌面软件接入这些机器,从平壤或第三国登录时,显示的IP地址是美国新泽西。
公司IT部门看到的:员工按时打卡、IP属地正常、视频会议时背景是典型美国家居环境(其实是精心布置的房间一角)。
公司HR收到的:完整的W-9税表、社会安全号码、银行转账信息——全是真的,只是不属于屏幕前那个人。
这种"物理层欺骗"绕过了大多数数字安全检测。防火墙、VPN审计、双因素认证,全都正常通过。因为从技术角度看,登录请求确实来自美国境内的一台实体设备。
骗局的关键在于中间人环节。Kejia和Zhenxing不只是提供基础设施,他们还负责"面试代打"——用被盗身份的视频素材应付实时面试,或者在必要时亲自出镜扮演"候选人"。
朝鲜方面则提供技术劳动力。据FBI和联合国专家组的公开报告,平壤系统性培养IT人才,专门瞄准海外远程岗位。这些程序员技术能力不差,英语通过培训达到可用水平,薪资要求却远低于市场。
一个朝鲜程序员在美国公司拿8000-15000美元月薪,其中70-80%上缴国家。对平壤来说,这是绕过制裁的硬通货来源;对中介来说,抽成比例足够诱人;对美国公司来说,"高性价比"的远程工程师似乎是天降馅饼。
三方共赢,除了那个被盗用身份的美国人,以及最终被渗透的企业网络。
100多家公司怎么被骗的?招聘流程的系统性盲区
司法部文件披露了一个令人不安的数字:超过100家美国公司中招,包括财富500强企业。
这不是小作坊的疏忽。大型企业的招聘流程有背景调查、身份验证、多轮面试——理论上应该能拦截这种骗局。
但疫情后的远程招聘常态,创造了完美的攻击窗口。
首先是视频面试的局限性。2020年后,"Zoom面试"成为标配,但企业很少要求候选人展示政府ID并实时比对。Kejia团伙使用的被盗身份资料足够完整,包括驾照照片、社会安全卡扫描件,足以应付形式审查。
其次是入职流程的脱节。很多公司将身份验证外包给第三方背景调查机构,而这些机构的数据库更新滞后,无法识别"真身份、假使用者"的情况。
更深层的问题是成本压力下的招聘焦虑。2021-2023年科技行业扩张期,企业疯狂争抢远程技术人才。当一个"资深全栈工程师"接受低于市场30%的薪资时,HR的直觉可能是"捡漏"而非"警惕"。
朝鲜程序员的真实技术水平,从后续事件可见一斑。部分受害者公司后来发现,这些"员工"确实完成了交付任务——代码质量合格,甚至优于平均水平。这意味着骗局能持续,部分原因是"产品"本身说得过去。
但风险藏在细节里。这些笔记本农场里的机器,同时是朝鲜情报机构的潜在跳板。美国司法部的指控明确提到:「进入美国计算机系统,危害国家安全。」
企业网络一旦被接入,横向移动、数据窃取、长期潜伏都是标准操作。3百万美元的集体损失中,很大一部分是事后安全审计和网络修复费用。
500万美元 vs 6.8亿美元:朝鲜IT外包的真实规模
Kejia和Zhenxing的案子判了,但数字需要放在更大图景中理解。
这对搭档三年运作,帮朝鲜获得约500万美元收入。听起来不少,但联合国专家组2024年的估计显示:朝鲜全球IT工人网络年收入可能高达6.8亿美元。
差距在哪?
新泽西这个案子只是冰山一角。美国司法部同期还在追查其他"笔记本农场"运营者,涉及佐治亚州、德州等多个地点。全球范围内,中国、俄罗斯、东南亚都有类似据点。
更隐蔽的是"纯远程"模式——不需要物理农场,直接通过VPN和云桌面服务伪装位置。这种操作成本更低,但技术要求更高,需要更成熟的网络基础设施支持。
朝鲜的IT外包产业已经高度组织化。据脱北者和情报机构披露,平壤有专门机构筛选、培训、派遣海外IT人员。候选人需要通过严格的政治审查和技术考核,出国(或在境内远程工作)期间受到严密监控。
收入分成比例惊人。一个典型的朝鲜远程程序员,月薪1.2万美元,个人到手可能只有200-300美元,其余上缴国家。即便如此,这仍是平壤普通公务员收入的数十倍,足以驱动大量人才涌入这个领域。
制裁漏洞是结构性问题。联合国安理会决议禁止成员国雇佣朝鲜劳工,但远程工作模糊了"雇佣"的地理边界。公司注册在美国,程序员物理位置不明,合同通过层层外包公司签署——法律追责极其困难。
美国财政部和国务院近年来多次发布警告,列出疑似朝鲜IT人员的识别特征:简历中的技术栈过于宽泛、面试时回避摄像头或背景可疑、要求通过加密货币支付、使用特定邮箱域名等。
但这些指标误报率很高,且朝鲜方面快速迭代对策。比如新泽西案子中的"笔记本农场",就是为了解决"视频面试必须露脸"这个痛点而诞生的物理层解决方案。
远程办公信任链的崩塌与重建
这个案子最讽刺的启示:我们花了十年构建"随时随地工作"的技术基础设施,却忽略了最基础的信任验证。
数字身份和物理身份之间的鸿沟,被Kejia团伙用几十台笔记本填平了。
企业现在的应对是"过度矫正"。部分公司开始要求新员工到指定地点完成生物识别验证,或者强制使用公司配发的、带有硬件安全模块的设备。这些措施有效,但也侵蚀了远程办公的灵活性优势。
更有意思的是技术反击。一些初创公司推出"连续身份验证"服务,通过打字节奏、鼠标移动模式、甚至摄像头前的微表情分析,实时判断操作者是否与注册身份匹配。这听起来像《黑镜》剧情,但市场需求真实存在。
区块链身份验证是另一个探索方向。自我主权身份(SSI,Self-Sovereign Identity)理念主张,个人持有加密签名的可验证凭证,而非依赖容易被盗的中心化数据库。但大规模落地仍需时日。
短期内,最实际的改进可能是招聘流程的"人际回退"——增加一轮由公司内部员工进行的、要求实时互动的视频面试,而非完全依赖外包的背调机构。
新泽西案子的被告Kejia和Zhenxing,据法庭记录,并非朝鲜公民,而是华裔美国人。他们的动机纯粹是经济利益:每成功安置一个"员工",抽取固定比例佣金。这种"中立中介"角色,让法律定性变得复杂——他们确实知道自己在帮朝鲜绕过制裁,但未必直接参与后续的网络安全危害。
检察官的回应是重判。9年和7年8个月的刑期,在白领犯罪中属于顶格处理。没收60万美元外加后续监督释放,传递的信号明确:协助制裁规避的代价,远高于表面收益。
但对朝鲜来说,这只是运营成本的一部分。6.8亿美元的年收入规模,意味着他们可以承受相当比例的"损耗",仍有充足动力继续扩张。
这场猫鼠游戏的终局,取决于企业端的安全投入意愿,以及国际社会对远程劳动监管的协调程度。两者目前都不乐观。
当"高性价比远程人才"的招聘广告下一次出现在你的邮箱里,你会怎么验证屏幕那头是谁?
热门跟贴