如何识别伪装成开发者求职的朝鲜黑客？

撰文：深潮 TechFlow

3月27日，Blast 上噩耗传来， Web3 游戏平台 Munchables 被盗超 1.7 万枚ETH，价值达 6250 万美元。

链上侦探ZachXBT在表示，Munchables 被盗或因雇佣伪装成开发者的朝鲜黑客，慢雾创始人余弦也表示，“这是我们遇到的至少第二起 DeFi 类项目遭遇的这类情况了。核心开发者伪装潜伏很久，获得整个 Team 的信任，时机一到就下手了，毫不留情。”

当你是一个加密项目创始人，为面试远程开发者求职者的时候，遇到朝鲜黑客或许并不是新鲜事。

Monad 创始人 Keone 就曾于 2022 年在 X 上披露，他们发布了很多 Solidity 开发人员招聘信息，并收到了很多简历……但是他们认为其中不少都是朝鲜人，并总结出了一些共同的特性：

• 他们似乎更喜欢像 SuperTalentedDev726 或 CryptoKnight415 这样的 Github 用户；
• 他们似乎还喜欢在电子邮件和 github 用户名中使用数字，这可能是跟踪他们申请的身份的一种方式？
• 他们还倾向于选择日本身份（也许韩国人太明显），并经常说他们此前就读于日本、香港或新加坡的顶尖学校（新加坡国立大学、南洋理工大学、香港大学、香港科技大学）；
• GitHub 经常（虽然不总是）窃取代码库，他们拿走现有项目并重新生成提交消息以使用他们的用户名；
• 他们还经常倾向于使用多个电子邮件地址多次申请这份工作，这些电子邮件地址彼此不同；
• 拥有 Solidity/EVM 经验的时间太早（比如 2015 年）。

根据最新的动态，Github 用户 Werewolves0493 据称是 Munchables 攻击背后的朝鲜黑客，他在 Github 上的电子邮件地址是seniordev1225@gmail.com，各方面还比较符合Monad 创始人 Keone 的描述。

2022年，隐私协议 aztecnetwork 的工作人员 Jonwu也曾在面试过程中遇到了朝鲜黑客，并描述了线上面试时的场景，以下为他的自述：

首先，我们 aztecnetwork 正在招聘，在 @Greenhouse 上收到“Bobby Sierra - Solidity Engineer”的求职申请。

在内部审查之后，系统会分配给我一个线上面试。

扫描一下大致的简历。

姓名：Bobby Sierra

应聘：Solidity工程师

地点：安大略

语言：英文和一些中文

经验：F2pool，简历上有一些 DAO 和 NFT 项目。

记住这一点，后面有关系。

然后我看了一下求职信，它的开头是：“我是一名拥有 6 年以上丰富经验的区块链开发人员。”

然后是一堆模糊不清的信息，属于一些通用的自夸自擂，但是能理解，并不是每个人都擅长写求职信。

最后，他在求职信上写着：“世界将在我手中看到伟大的成果。”

...

我立刻就想，这个混蛋听起来像个邦德恶棍。

我在想象一个家伙，他的手臂实际上是一门激光炮，他的眼球是由钚或其他东西制成的。

“世界将在我手中看到伟大的成果”？？？

正常人谁他妈这么说话？

这令人不安，我随即去看了他的 Github，过去 12 个月内有 12 次提交？这并不是“丰富的经验”。

另外，这些参与的项目似乎是随机的：

BoredBunnies

PantherSwap

MetaverseDAO

算了，我对自己说，Crypto 是一个奇怪而有趣的空间，里面到处都是奇怪而有趣的人！看，也许Bobby 只是个古怪的家伙。

然后，我开始了面试！

嗨，这是来自Aztec的jon，是Bobby 吗？

“Yes. This is...Bobby Sierra。”

我观察到几点：

他的相机关了；

5 个以上的人在后台大声说话；

明显的韩国口音；

我问他为什么声音这么大。

“哦，我在办公室。”

WTF，但是为什么还有另外 5 个人在说韩语和英语的混合语？

你可能会问，我怎么知道他是韩国人？

嘿嘿，我的一些好的朋友是韩国人，所以对韩国口音非常熟悉，但这不是普通的韩裔美国人或韩裔加拿大人或韩裔的任何口音。

“Bobby”当然会说英语，但不是普通的英语：僵硬，正式，同时几乎无法理解。

所以，“Bobby，自我介绍一下吧。

“我，参与过很多区块链开发、代币发行，有很多成功的项目，非常成功，很多区块链经验，都有非常好的结果。Okay？”

让我们来简单分析一下：

1）第一部分就是他妈的胡言乱语，冲着这一点就想取消他的面试资格

2）“Okay”

“Okay”这个表达让我确信这家伙是韩国人。我怎么知道？

因为我朋友的妈妈都会在他们给我一碗滚烫的排骨汤之前说这些狗屎。

“这个很好吃，趁着凉快吃吧，Okay？”

现在警钟已经响起。我知道最近频频出现的朝鲜黑客攻击事件。

我决定进一步挖掘。

Where are you based, Bobby?

Bobby： “Based?”

就是，你现在在哪里？

“哦，香港。”

“香港？你最后在哪里工作？”

“哦，Ateke。”

那是什么？

“德国公司，还是法国公司。我不知道。”

你简历上说你曾为 F2pool 工作，你能告诉我关于 F2pool 的事吗？

“嗯嗯嗯，可以等一下吗？”

然后他让我静音 5 分钟。

当Bobb回来时，似乎换了一个新人。

“你好，你在吗？”

是的，Bobby，我在呢。

“我是经验丰富的区块链开发人员，我想要一份新工作，我非常有经验，可以为贵公司带来价值，我现在想要工程师工作。Okay？”

不管真假，我都挂断了电话。

我们知道，像 Lazarus Group 这样的朝鲜黑客正在攻击主要协议和个人。

Ronin被盗6 亿美元；Arthur0x、Mgnr 和无数其他知名帐户被攻击。

我不知道攻击媒介是什么。

• 让我们下载一份被破坏的.docx简历？
• 让人分享屏幕并导航到Metamask？
• 获得对我们代码库的访问权并推送一个恶意的修改？

我把它留给互联网来猜测。

实际上，我不知道这些人是否是朝鲜的黑客。Bobby可能只是一个非常无能的家伙，但我的每一根纤维都说这不是事实。

除了恐惧和娱乐之外，我从这次奇怪的互动中学到了很多东西。

1）我们的整个世界是建立在信任之上的。如果有人向我们展示他们的简历和Github，我们就会相信它。

• 智能合约的风险被高估了，任何事情都可以成为攻击的载体：招聘、活动、旅行等等。
• 不要随意下载附件，将你的钱包隔离在自己的机器上，等等。

后来，"Bobby "更新了他的Github，它指向一个全新的账户，现在有更多的代码提交。

我相信这些人正在学习、适应、变得更聪明。

值得庆幸的是，他们无法解决他们是多么他妈的脱节和无能。

我们只需要保持精明。