FBI指控曹县 IT 工作者窃取源代码以勒索雇主

美国联邦调查局警告称，曹县 IT 工作者正在滥用其访问权限窃取源代码并敲诈被骗雇用他们的美国公司。

该安全部门向美国及世界各地的公共和私营部门组织发出警告，曹县 IT劳工将为网络犯罪活动提供便利，并索要赎金，以不在网上泄露从其雇主网络窃取的敏感数据。

美国联邦调查局表示：“曹县 IT 工作者已将 GitHub 等公司代码存储库复制到自己的用户资料和个人云账户中。虽然这种行为在软件开发人员中并不罕见，但这种行为代表着公司代码被盗的大规模风险。”

“曹县 IT 工作者可能会尝试获取敏感的公司凭证和会话 cookie，以便从非公司设备启动工作会话并获取进一步的攻击机会。”

为了降低这些风险，FBI 建议公司采用最小特权原则，禁用本地管理员帐户并限制远程桌面应用程序的权限。组织还应监控异常网络流量，尤其是远程连接，因为曹县 IT 人员经常在短时间内从不同的 IP 地址登录同一个帐户。

它还建议检查网络日志和浏览器会话，以防通过共享驱动器、云帐户和私有代码存储库泄露数据。

为了加强远程招聘流程，公司应在面试和入职期间验证身份，并与人力资源系统核对具有相似简历内容或联系方式的申请人。

鉴于曹县 IT 工作者在面试时会使用人工智能和换脸技术来隐藏身份，人力资源人员和招聘经理也必须意识到相关风险。此外，在入职期间监控支付平台和联系信息的变化至关重要，因为这些人通常会在简历中重复使用电子邮件地址和电话号码。

其他有助于发现试图绕过招聘审查的曹县 IT 工作者的措施包括：

• 核实第三方招聘公司是否实施严格的招聘规范并定期审核这些规范；

• 使用“软”面试问题询问应聘者有关其所在地或教育背景的具体细节（曹县 IT 工作者经常声称曾就读于非美国教育机构）；

• 检查申请人简历中是否有拼写错误和不寻常的术语；

• 尽可能亲自完成尽可能多的招聘和入职流程。

近年来美国联邦调查局多次就曹县 IT 劳工发出警告，这些人隐瞒真实身份，以便在美国和世界各地的数百家公司获得聘用。

他们还自称“IT 战士”，通过位于美国的笔记本电脑农场连接企业网络，冒充美国 IT 员工。在被发现并被解雇后，其中一些曹县 IT 员工利用内部信息敲诈前雇主，威胁要泄露他们从公司系统中窃取的敏感信息。

韩国和日本政府机构也针对曹县欺骗私营公司并获得远程IT工作职位发出警告。

美国、韩国和日本几周前发表的联合声明中透露，曹县黑客组织在 2024 年多次加密货币抢劫中窃取了价值超过 6.59 亿美元的加密货币。

FBI官方公告：

https://www.ic3.gov/PSA/2025/PSA250123

新闻链接：

https://www.bleepingcomputer.com/news/security/fbi-north-korean-it-workers-steal-source-code-to-extort-employers/

讲述普通人能听懂的安全故事