美國聯邦調查局（FBI）今天警告說，北韓IT 工作人員正在濫用他們的訪問權限，竊取原始碼並敲詐被騙僱用他們的美國公司。該安全部門提醒美國和全球的公共和私營部門組織，北韓的IT 軍隊為網路犯罪活動提供便利，並要求贖金，否則威脅將洩露從雇主網路中竊取的敏感資料。

「北韓IT 員工將公司程式碼庫（如GitHub）複製到自己的使用者檔案和個人雲端帳戶。 雖然這種行為在軟體開發人員中並不少見，但它代表著大規模的公司程式碼盜竊風險， “聯邦調查局說。 “北韓IT 工作人員可能會試圖取得敏感的公司憑證和會話cookie，以便從非公司設備啟動工作會話，並獲得進一步的入侵機會”。

為降低這些風險，聯邦調查局建議各公司採用最小特權原則，停用本地管理員帳戶並限制遠端桌面應用程式的權限。 各組織也應監控異常網路流量，特別是遠端連接，因為北韓IT 人員經常在短時間內從不同的IP 位址登入同一帳戶。

它還建議審查網頁日誌和瀏覽器會話，以發現透過共用磁碟機、雲端帳戶和私人程式碼庫進行資料外洩的可能性。

為加強遠端招聘流程，公司應在面試和入職過程中核實身份，並交叉檢查人力資源系統中是否有簡歷內容或聯繫方式相似的申請人。

眾所周知，北韓IT 人員在面試時會使用人工智慧和換臉技術來隱藏身份，因此人力資源人員和招募經理也必須意識到相關風險。 此外，在入職過程中監控支付平台和聯絡資訊的變化也至關重要，因為這些人經常會在履歷中重複使用電子郵件地址和電話號碼。

其他有助於發現試圖繞過招募檢查的北韓IT 員工的措施包括：

• 核實第三方人員招聘公司是否採取了嚴格的招聘措施，並對這些措施進行例行審核、
• 使用”軟性”面試問題，詢問應徵者有關其工作地點或教育背景的具體細節（北朝鮮IT 員工經常聲稱曾在非美國教育機構就讀）、
• 檢查求職者履歷中的錯字和不常見的術語、
• 盡可能親自完成招募和入職流程。

在今天的公共服務公告之前，美國聯邦調查局多年來就北韓的龐大IT 員工大軍一再發出警告，這些員工隱藏真實身份，在美國和世界各地的數百家公司工作；

他們也被稱為”IT戰士”，透過美國的筆記型電腦農場連接到企業網絡，冒充美國的IT 員工 。 8 月份，美國執法部門搗毀了納許維爾的一個筆記本農場 ，5 月份又搗毀了亞利桑那州的一個筆記本農場 。

在被發現並解僱後，臥底的北韓IT 員工利用內幕消息威脅洩露他們從公司係統中竊取的敏感資訊。

“我們越來越多地看到朝鮮IT 人員潛入大型企業竊取敏感數據，並對這些企業實施勒索威脅。” Google雲的曼迪安特首席分析師邁克爾-巴恩哈特（Michael Barnhart）告訴BleepingComputer ：”他們將業務擴展到歐洲以複製他們的成功也不足為奇，因為這更容易誘騙那些不熟悉他們伎倆的公民。”

「北韓的IT 工作人員也在利用一些公司，這些公司已經開始為其遠端員工使用虛擬桌面基礎設施（VDI），而不是向他們發送實體筆記型電腦。 雖然這對公司來說更具成本效益，但威脅行為者卻更容易隱藏其惡意活動”。

美國國務院現在提供數百萬美元以換取有助於破壞多家朝鮮幌子公司活動的資訊。 這些公司透過非法的遠距IT 工作計畫為北韓政權創造收入。

近年來，韓國和日本政府機構也發布了關於北朝鮮人欺騙私人公司並以遠程IT 工人身份獲得就業的警報。

在上週發表的聯合聲明中，美國、韓國和日本透露，北韓國家支持的駭客組織在2024 年期間的多起加密劫案中竊取了價值超過6.59 億美元的加密貨幣。

今天，美國司法部還起訴了兩名北韓國民和三名協助者，指控他們參與了一項多年的遠距IT 工作詐欺計劃，在2018 年4 月至2024 年8 月期間，他們和嫌疑人（尚未被指控）至少有六十四家美國公司僱用。