朝鲜IT工作者渗透行动持续升级：司法部行动下的网络安全挑战

作者：Tara Seals | 2025年7月25日 | 6分钟阅读

亚利桑那州一名为朝鲜IT工作者渗透美国企业提供支持的"笔记本电脑农场"运营者被判处8.5年监禁，其曾为金正恩政权筹集1700万美元非法资金。然而这只是司法行动的冰山一角，朝鲜从美国企业窃取薪资的行为短期内不会减弱，美国机构需认清这一威胁的严重性。

双重攻击目标

朝鲜多年的HR渗透计划具有双重目标：通过薪资为封闭国家的核计划筹集资金，以及在企业网络内部建立立足点，部署加密矿工或窃取机密的恶意软件。

精密身份伪造体系

应聘者使用精心策划的虚假身份，包括完整的社交媒体资料、AI增强照片、深度伪造技术和被盗身份信息以通过背景审查。被雇佣后，这些"员工"需要美国境内的同伙接收公司发放的笔记本电脑等设备，并通过远程链接操作。

核心人物Christina Marie Chapman已认罪，承认帮助朝鲜向309家美国公司渗透人员。本周法院判处其102个月监禁，并需支付约45万美元赔偿金。她是一起重大案件的关键人物，该案使执法部门开始关注支撑IT工作者计划的协助者网络。

司法部披露作案细节

美国司法部警报显示：“Chapman运营的’笔记本电脑农场’接收并存放美国公司的电脑，欺骗企业使其认为工作在美国境内完成。她还向海外运送49台笔记本电脑设备，包括多次发往中朝边境城市。2023年10月执行搜查令后从其家中查获90多台笔记本电脑。”

威胁规模持续扩大

• 2024年联合国报告估计朝鲜IT工作者年收入达2.5亿至6亿美元
• 个体工作者年均收入30万美元，但实际仅保留不到20%
• 人员规模从2022年6800人激增至2024年8400人
• 伪造IT工作者数量高达4000人（联合国数据）

安全厂商SentinelOne报告称，已追踪到约360个虚假身份和1000多份与朝鲜IT工作者行动相关的职位申请，甚至包括试图渗透SentinelLabs情报工程团队的大胆尝试。

技术手段与防御建议

前NASA首席云架构师Joshua McKenty警告：“随着朝鲜手段日益精密，‘笔记本电脑农场’的需求可能会消失。雇主尚未做好准备——朝鲜使用的AI修改身份文件将通过常规背景审查。”

建议采用高级身份验证工具，通过GPS和GSM数据提供位置证明，防止远程桌面登录滥用。需建立更广泛的身份验证机制应对"协同雇佣"和"代理候选人"等身份欺诈形式。

本文涉及企业包括电视台、银行、硅谷科技公司、多家财富500强企业、航空航天制造商、汽车制造商、奢侈品零售店和美国媒体娱乐公司。