一家美国国防承包商招了个程序员,干了三年才发现对方人在平壤。这不是谍战片开场,是司法部刚结案的卷宗细节。
42岁的Kejia "Tony" Wang和39岁的Zhenxing "Danny" Wang本周被判刑,合计200个月。罪名是帮朝鲜IT工人伪造身份,渗透进100多家美国公司——其中不少是财富500强。
这案子最荒诞的部分在于:它完全依赖美国远程办公的基础设施。公司主动寄电脑、开VPN账号、按月打工资,骗子们只需要解决"人在哪里"这个信息缺口。
一张图看懂:朝鲜码农的"美国上班"全链条
整个骗局可以拆解成四个环节,每个环节都精准利用了美国科技公司的管理漏洞。
【环节一:身份壳】
Tony Wang的核心工作是偷身份。法庭文件显示,他至少搞到了80个美国公民的完整资料——社保号、地址、信用记录。这些身份被分配给朝鲜程序员,用于通过背景调查。
美国公司招远程员工时,背调通常外包给第三方。骗子们发现:只要身份资料齐全,系统不会验证"申请人是否真的是这个人"。
更讽刺的是,部分受害者本身就是做身份验证业务的。一家被渗透的国防承包商,主营业务包括网络安全。
【环节二:设备农场】
公司录用"新员工"后,会寄送工作电脑。这些电脑被寄到Danny Wang等人运营的"laptop farm"——字面意义上的笔记本农场。
一个农场同时运转数十台设备,朝鲜程序员通过远程桌面连接。IP地址显示在美国某处,考勤系统记录正常登录,代码提交时间分布合理。
法庭文件提到,仅这个团伙就操作了数百台笔记本。 facilitators( facilitators, facilitators,Tony Wang管着至少五个)的工作就是保持设备在线、处理硬件故障、应对偶尔的IT支持请求。
有个细节:当公司要求视频开会时,facilitators会找替身出镜,或者借口"摄像头坏了"。多数公司远程管理松散,这种借口能混过去。
【环节三:资金洗白】
Tony Wang在美国注册了多家空壳公司,名义提供软件开发服务。美国公司把工资打进这些账户,再被拆分成多笔转账流向海外。
三年间,这个网络为朝鲜创造了500万美元收入。Tony Wang和他的五个手下分到约70万美元——司法部最终追缴了60万,其中40万已到账。
对比很刺眼:朝鲜程序员实际到手的比例极低,大部分被平壤抽走。但对个体而言,这仍是制裁背景下罕见的美元收入来源。
【环节四:成本转嫁】
骗局暴露后,受害公司的损失不止被骗的工资。司法部统计,100多家公司合计承担了300万美元额外成本——律师费、网络取证、系统重建。
一家国防承包商的情况更麻烦:朝鲜程序员接触过内部代码库,安全审查必须假设"最坏情况"。这种隐性成本难以量化,但远高于账面损失。
远程办公的信任悖论
这案子2021年启动,2024年收网,正好覆盖美国科技业大规模远程办公的周期。疫情让"不见面入职"成为常态,骗子们顺势完成了压力测试。
他们的成功揭示了一个设计缺陷:远程办公系统验证的是"设备在哪里",而非"人是谁"。
当公司把笔记本寄到某个美国地址,看到美国IP登录,默认信任链就建立了。背景调查验证的是静态数据(社保号、学历),而非动态行为(打字节奏、代码风格、视频互动质量)。
更深层的问题是成本结构。100多家公司中招,说明个案金额小到不足以触发警觉。单个朝鲜程序员的年薪可能8-12万美元,在硅谷属于中等偏下水平,不会进入高管复核流程。
直到某次安全审计、或者某个facilitator操作失误,才会暴露。
朝鲜IT外包的产业化
美国官方反复强调:这类骗局的主要受益者是朝鲜政权。但卷宗细节显示,运作方式已经高度专业化。
朝鲜程序员不是随机接单,而是被编入特定团队。有人专攻前端,有人做后端,有人负责应付技术面试——面试也由facilitators安排的替身完成,或者提前录音合成。
他们的产出质量参差不齐。部分公司反馈"代码还行",另一些发现严重延期后选择终止合同,但没联想到欺诈。
这种"低质量混过去"的策略,本身是一种筛选:管理松散的公司会留用,严格的公司会自然淘汰,骗子无需额外成本。
Tony Wang的角色类似项目经理,协调身份、设备、资金三条线。他的五个facilitators可能是独立承包商,按接入设备数量或成功入职人数提成。
这种模式的可复制性令人担忧。一个Tony Wang落网,不代表基础设施消失。身份黑市、设备农场、跨境支付通道都是模块化组件。
企业端的防御盲区
受害公司的共同特征是什么?司法部没公布完整名单,但从描述看,它们都具备三个条件:接受远程入职、IT自主权限较高、背调外包且不复核。
国防承包商中招尤其值得注意。这类企业通常有安全许可要求,但许可审查针对的是"员工是否可信",而非"员工是否真实存在"。
当骗子用真美国人的身份资料申请,审查系统看到的是清白记录。生物识别环节的缺失——比如入职视频验证、实时动态检测——成为关键突破口。
部分公司已经开始修补。更严格的设备指纹追踪、异常登录行为分析、代码提交模式比对,都被纳入风控工具箱。
但这些措施增加摩擦。远程办公的核心卖点是"降低招聘地理限制",过度验证会抵消这一优势。企业需要在安全和效率之间重新找平衡点。
制裁与现实的裂缝
从朝鲜视角看,这是制裁体系下的理性选择。IT服务不依赖实物出口,不需要穿越海上封锁线,利润率高且难以追踪。
联合国专家小组此前估计,朝鲜海外IT工人年收入总额可能达数亿美元。本次案件的500万美元只是冰山一角,且属于运作相对粗糙、最终被查获的部分。
更隐蔽的网络可能从未暴露。它们使用更复杂的身份洗白、更分散的设备节点、更间接的资金路径。
对个体程序员而言,参与这类计划风险极高——不仅是法律风险,还包括朝鲜国内的政治风险。但制裁挤压下的经济压力,让这种冒险具备吸引力。
美国司法部的回应是加重刑罚。200个月刑期(约16.7年)针对的是组织者而非终端程序员,意在提高供应链成本。
但刑期威慑对跨国网络效果有限。Tony Wang和Danny Wang是美国公民,容易被抓捕起诉。facilitators链条上的其他环节——身份贩子、设备农场运营者、海外资金接收方——很多位于司法管辖盲区。
技术中立性的边界
这案子最尴尬的启示或许是:远程办公技术本身没有善恶,但它的设计假设(员工可信、身份可验证、地理可追踪)正在被系统性利用。
当科技公司推销"全球人才无边界"时,很少讨论验证成本该由谁承担。背景调查公司按单收费,没有动力提高检测深度;企业HR追求招聘效率,不愿增加入职 friction;政府监管滞后于技术滥用形态。
结果是,一个利用美国基础设施为朝鲜创汇的网络,运转了三年才被发现。期间它完美融入了合法的远程经济生态,甚至部分"员工"的代码质量通过了同行评审。
现在,100多家公司正在重新检查它们的远程员工名单。问题是:如果骗局可以做得更精细——更自然的视频替身、更匹配身份背景的代码风格、更分散的设备节点——现有检测手段还能抓住什么?
热门跟贴