朝鲜支持的网络运营者通过在区块链和加密货币公司获得合法的IT职位，悄悄地嵌入到加密货币行业中。6月2日，链上调查员ZachXBT透露，自2025年1月以来，与朝鲜有关的工人可能已经占据了345到920个职位——总共获得了超过1658万美元的薪酬。他的研究结果引发了对内部访问、合规失败以及使用加密货币基础设施逃避制裁的严重担忧。

计算问题的规模

ZachXBT的调查追踪了约1658万美元加密货币支付到与朝鲜IT运营人员相关的钱包。从每月约276万美元的流出量和每个工人估计的3000至8000美元的工资来看，至少有345名工人，可能多达920名。这种渗透水平表明，有组织且资源充足的行动将运营人员插入到加密货币生态系统中。

识别红旗标志

几个指标引发了怀疑：员工声称在美国生活，却使用俄罗斯IP地址；频繁更改GitHub账号；以及多次客户身份识别(KYC)和反洗钱(AML)检查失败。ZachXBT甚至通过开源情报将一名嫌疑人“Sandy Nguyen”与俄罗斯的北韩集会联系起来。这些异常的汇聚揭示了一种不仅为了收入，还为了战略渗透的欺骗性招聘模式。

从工作到利用

危险不仅仅在于工资支付。许多案例显示，这些雇佣人员在漏洞中扮演了积极角色：有些人向智能合约中引入了恶意代码，另一些人则获得了企业系统的访问权限，进行“ rug pull”或黑客攻击。例如，四名朝鲜特工以美国和塞尔维亚公司的远程开发人员身份行动，公然通过内部访问窃取了近 915,000 美元的加密货币。这些行动符合朝鲜通过网络犯罪赚取收入的整体战略。

稳定币：一种支付工具

对Circle的USDC稳定币的使用受到了显著质疑。ZachXBT声称，许多 infiltrating 工人是以USDC领取薪水的，并且尽管有合规义务，Circle并没有有效地标记或冻结可疑账户。由于稳定币的速度和合法性，这种付款方式为隐蔽的国家支持的交易提供了一个有吸引力的渠道。

美国执法部门回应

为了应对这一日益严重的威胁，美国官员于6月30日展开了一次大规模打击行动。司法部（DOJ）和联邦调查局（FBI）的调查表明，有一个广泛的远程工作计划，北韩国民通过盗取身份来在美国超过100家公司进行远程工作——结果，这导致了超过300万美元的损失，以及超过90万美元的加密货币盗窃。同时，此次行动还缴获了近200台笔记本电脑、29个域名以及与该计划相关的财务账户。

理解更广泛的威胁

这些行动是更大规模的网络犯罪工具的一部分。朝鲜的Lazarus集团在过去十年中从全球加密货币平台上窃取了超过60亿美元，包括2025年2月对Bybit的15亿美元黑客攻击。远程招聘计划是这些更大规模盗窃的一部分，提供了更稳定收入来源，并且更好的访问权限。

加密货币公司的建议

为了应对这一风险，加密货币公司必须升级尽职调查实践。这些行动包括广泛的知识产权和位置检查、链上工资审计、高效率的 KYC/AML 措施，以及对通常拥有特殊权限的员工进行内部审查。我们必须与监管机构、稳定币发行方和执法部门合作，以识别和切断这种渗透。

结论

北韩网络间谍人员被揭露与加密货币行业数百个职位有关联，这揭示了国家支持间谍活动的微妙且不断演变的形式。当像ZachXBT这样的链上分析人经常将犯罪入侵描述为“渗透”时，这更是一个危险的敌人。加密货币公司面临真正的困境：要么加强自身的内部防御，要么继续成为其国家地缘政治网络风险的共犯。