如何識別偽裝成開發者求職的朝鮮黑客？

撰文：深潮 TechFlow

3月27日，Blast 上噩耗傳來， Web3 遊戲平台 Munchables 被盜超 1.7 萬枚ETH，價值達 6250 萬美元。

鏈上偵探ZachXBT在表示，Munchables 被盜或因雇用偽裝成開發者的朝鮮黑客，慢霧創始人余弦也表示，"這是我們遇到的至少第二起 DeFi 類項目遭遇的這類情況了。核心開發者偽裝潛伏很久，獲得整個 Team 的信任，時機一到就下手了，毫不留情。"

當你是一個加密項目創始人，為面試遠程開發者求職者的時候，遇到朝鮮黑客或許並不是新鮮事。

Monad 創始人 Keone 就曾於 2022 年在 X 上披露，他們發布了很多 Solidity 開發人員招聘信息，並收到了很多簡歷……但是他們認為其中不少都是朝鮮人，並總結出了一些共同的特性：

• 他們似乎更喜歡像 SuperTalentedDev726 或 CryptoKnight415 這樣的 Github 用戶；
• 他們似乎還喜歡在電子郵件和 github 用戶名中使用數字，這可能是跟蹤他們申請的身份的一種方式？
• 他們還傾向於選擇日本身份（也許韓國人太明顯），並經常說他們此前就讀於日本、香港或新加坡的頂尖學校（新加坡國立大學、南洋理工大學、香港大學、香港科技大學）；
• GitHub 經常（雖然不總是）竊取代碼庫，他們拿走現有項目並重新生成提交消息以使用他們的用戶名；
• 他們還經常傾向於使用多個電子郵件地址多次申請這份工作，這些電子郵件地址彼此不同；
• 擁有 Solidity/EVM 經驗的時間太早（比如 2015 年）。

根據最新的動態，Github 用戶 Werewolves0493 據稱是 Munchables 攻擊背後的朝鮮黑客，他在 Github 上的電子郵件地址是 seniordev1225@gmail.com，各方面還比較符合 Monad 創始人 Keone 的描述。

2022年，隱私協議 aztecnetwork 的工作人員 Jonwu 也曾在面試過程中遇到了朝鮮黑客，並描述了線上面試時的場景，以下為他的自述：

首先，我們 aztecnetwork 正在招聘，在 @Greenhouse 上收到 "Bobby Sierra - Solidity Engineer" 的求職申請。

在內部審查之後，系統會分配給我一個線上面試。

掃描一下大致的簡歷。

姓名：Bobby Sierra

應聘：Solidity工程師

地點：安大略

語言：英文和一些中文

經驗：F2pool，簡歷上有一些 DAO 和 NFT 項目。

記住這一點，後面有關係。

然後我看了一下求職信，它的開頭是："我是一名擁有 6 年以上豐富經驗的區塊鏈開發人員。"

然後是一堆模糊不清的信息，屬於一些通用的自誇自擂，但是能理解，並不是每個人都擅長寫求職信。

最後，他在求職信上寫著："世界將在我手中看到偉大的成果。"

…

我立刻就想，這個混蛋聽起來像個邦德惡棍。

我在想像一個家伙，他的手臂實際上是一門激光炮，他的眼球是由鈽或其他東西製成的。

"世界將在我手中看到偉大的成果"？？？

正常人誰他媽這麼說話？

這令人不安，我隨即去看了他的 Github，過去 12 個月內有 12 次提交？這並不是 "豐富的經驗"。

另外，這些參與的項目似乎是隨機的：

BoredBunnies

PantherSwap

MetaverseDAO

算了，我對自己說，Crypto 是一個奇怪而有趣的空間，裡面到處都是奇怪而有趣的人！看，也許 Bobby 只是個古怪的家伙。

然後，我開始了面試！

嗨，這是來自 Aztec 的 jon，是 Bobby 嗎？

"Yes. This is…Bobby Sierra。"

我觀察到幾點：

他的相機關了；

5 個以上的人在背景大聲說話；

明顯的韓國口音；

我問他為什麼聲音這麼大。

"哦，我在辦公室。"

WTF，但是為什麼還有另外 5 個人在說韓語和英語的混合語？

你可能會問，我怎麼知道他是韓國人？

嘿嘿，我的一些好的朋友是韓國人，所以對韓國口音非常熟悉，但這不是普通的韓裔美國人或韓裔加拿大人或韓裔的任何口音。

"Bobby" 當然會說英語，但不是普通的英語：僵硬，正式，同時幾乎無法理解。

所以，"Bobby，自我介紹一下吧。

"我，參與過很多區塊鏈開發、代幣發行，有很多成功的項目，非常成功，很多區塊鏈經驗，都有非常好的結果。Okay？"

讓我們來簡單分析一下：

1）第一部分就是他媽的胡言亂語，衝著這一點就想取消他的面試資格

2）"Okay"

"Okay" 這個表達讓我确信這家伙是韓國人。我怎麼知道？

因為我朋友的媽媽都會在他們給我一碗滾燙的排骨湯之前說這些狗屎。

"這個很好吃，趁著涼快吃吧，Okay？"

現在警鐘已經響起。我知道最近頻頻出現的朝鮮黑客攻擊事件。

我決定進一步挖掘。

Where are you based, Bobby?

Bobby： "Based?"

就是，你現在在哪裡？

"哦，香港。"

"香港？你最後在哪裡工作？"

"哦，Ateke。"

那是什麼？

"德國公司，還是法國公司。我不知道。"

你簡歷上說你曾為 F2pool 工作，你能告訴我關於 F2pool 的事嗎？

"嗯嗯嗯，可以等一下嗎？"

然後他讓我靜音 5 分鐘。

當 Bobby 回來時，似乎換了一個新人。

"你好，你在嗎？"

是的，Bobby，我在呢。

"我是經驗豐富的區塊鏈開發人員，我想要一份新工作，我非常有經驗，可以為貴公司帶來價值，我現在想要工程師工作。Okay？"

不管真假，我都掛斷了電話。

我們知道，像 Lazarus Group 這樣的朝鮮黑客正在攻擊主要協議和個人。

Ronin 被盜 6 億美元；Arthur0x、Mgnr 和無數其他知名帳戶被攻擊。

我不知道攻擊媒介是什麼。

• 讓我們下載一份被破壞的 .docx 簡歷？
• 讓人分享螢幕並導航到 Metamask？
• 獲得對我們代碼庫的訪問權並推送一個惡意的修改？

我把它留給互聯網來猜測。

實際上，我不知道這些人是否是朝鮮的黑客。Bobby 可能只是個非常無能的家伙，但我的每一根纖維都說這不是事實。

除了恐懼和娛樂之外，我從這次奇怪的互動中學到了很多東西。

1）我們的整個世界是建立在信任之上的。如果有人向我們展示他們的簡歷和 Github，我們就會相信它。

• 智能合約的風險被高估了，任何事情都可以成為攻擊的載體：招聘、活動、旅行等等。
• 不要隨意下載附件，將你的錢包隔離在自己的機器上，等等。

後來，"Bobby "更新了他的 Github，它指向一個全新的賬戶，現在有更多的代碼提交。

我相信這些人正在學習、適應、變得更聰明。

值得慶幸的是，他們無法解決他們是多麼他媽的脫節和無能。

我們只需要保持精明。