朝鲜黑客投简历：1份AI伪造简历+3个假身份

2025年6月，一家美国网络安全公司收到一份Lead AI Architect（首席人工智能架构师）岗位的求职申请。简历漂亮，经验十年，佛罗里达本地。HR没注意到的是，这份材料背后藏着3个不同版本的"同一个人"——以及一个正在中国操作的朝鲜特工。

Nisos安全团队的调查报告显示，这是朝鲜国家支持的IT工人渗透计划的最新变体。自2023年初以来，这类行动已从"广撒网"升级为精准狙击，目标直指科技、情报、网络安全等敏感领域。薪资最终流向平壤的武器项目，而雇主往往在事发后才惊觉自己雇佣的是敌对国家特工。

一份简历，三套说辞

这名特工盗用了佛罗里达州一名真实居民的身份信息。此人曾居住于Palm Beach Gardens、West Palm Beach和Greenacres三地，完全不知道自己已成为三份不同简历的"主角"。

Nisos分析师发现，特工在多个平台注册了简历账户，每份都使用同一姓名和地址，但大学、雇主、工作地点各不相同。这种"碎片化身份"策略旨在规避单一平台的背景核查——当A平台的学历验证失败时，B平台的版本或许能蒙混过关。

更隐蔽的操作在于技术痕迹的伪装。特工使用的IP地址167.88.61.250和167.88.61.117均指向Astrill VPN匿名网络，这是朝鲜IT工人从中国境内操作时的典型工具。提供的电话号码850-308-4867经追溯为网络语音协议号码，区号与声称的佛罗里达住址匹配，实际却可由中国境内任意设备接听。

这种"地理伪装"的精细程度，足以让常规背调失效。HR看到本地号码、核对地址存在、视频面试画面正常——所有表面检查都通过，唯独没人追问：为什么候选人的网络延迟总是偏高？

面试环节的反侦察

Nisos的识别并非依赖技术扫描，而是人工设计的对话陷阱。分析师结合开源情报（OSINT）研究与定制化面试问题，在交流中发现应答模式异常——对本地技术社区细节含糊其辞，对"佛罗里达生活"的追问出现明显延迟，部分回答带有非母语者的句式特征。

这些信号单独看都不致命。但叠加VPN痕迹、VoIP号码、三份矛盾简历后，画像逐渐清晰：一个在中国境内、使用AI工具生成职业履历、试图以远程办公身份潜入美国关键基础设施的朝鲜国家代理人。

该案例的特殊性在于目标选择。网络安全公司本应是最难渗透的堡垒，却因其"技术自信"反而可能成为盲区——"我们的人能看穿任何攻击"，这种心态让部分企业在招聘环节放松了警惕。

远程办公时代的信任危机

朝鲜IT工人计划的运作机制已相当成熟。特工入职后，通过远程访问工具控制公司发放的笔记本，从海外操作却显示为"本地登录"。标准IT安全团队很难识别这种"人在北京、IP在纽约"的时空错位。

一旦渗透成功，风险呈链式扩散：数据窃取、知识产权流失、监管处罚、声誉崩塌。2023年以来，美国司法部已多次起诉涉及此类计划的个人和中介公司，但刑事追责往往滞后于实际损害。

此次事件的受害者——那名佛罗里达居民——在Nisos协调下已由执法部门通知。但身份盗用的发现通常意味着信息已在暗网流通多年，后续诈骗、信用欺诈的风险远未结束。

对招聘方而言，传统的"查学历、打电话、看视频"三板斧显然不够用了。当AI可以生成以假乱真的项目经历，当VPN能完美模拟地理位置，背景调查需要升级为跨平台的身份一致性验证——比对不同时间、不同来源的同一"候选人"是否存在叙事冲突。

你的公司最近一次核实远程员工的物理位置，是什么时候？