朝鲜码农月入1.5万刀？两个美国人帮了忙

远程办公最荒诞的骗局终于被揭穿了——不是AI换脸，不是深度伪造，是物理层面的"肉身代打卡"。

两个新泽西人买了几十台笔记本，摆在自家屋里24小时开机。屏幕前坐着的是朝鲜程序员，键盘那头是美国公司的HR。三年时间，这个"笔记本农场"帮朝鲜卷走500万美元，两个中间商抽成60万。

更离谱的是，这80多个被盗用的美国身份，成功渗透了100多家公司，包括多家财富500强。

这不是科幻片情节。美国司法部刚判完：Kejia Wang（王科佳，音译）9年，Zhenxing Wang（王振兴，音译）7年8个月，外加三年监外看管。60万非法所得全部没收。

国家安全助理司法部长John A. Eisenberg的原话很直接：「多年来，被告通过协助朝鲜演员实施欺诈性计划，在美国公司的工资单上安插朝鲜IT工人，进入美国计算机系统，从而危害我们的国家安全。」

但故事真正有趣的部分，是这场骗局怎么运作的——以及为什么能持续三年才被发现。

笔记本农场：远程办公时代的物理漏洞

整个操作的核心，是一个被忽视的技术细节：美国公司验证远程员工身份时，往往依赖IP地址和地理位置。

Kejia和Zhenxing的解决方案极其原始：买电脑、租房子、拉网线。

他们在新泽西州维持着多个"工作站"，每台笔记本对应一个被盗用的美国身份。朝鲜程序员通过远程桌面软件接入这些机器，从平壤或第三国登录时，显示的IP地址是美国新泽西。

公司IT部门看到的：员工按时打卡、IP属地正常、视频会议时背景是典型美国家居环境（其实是精心布置的房间一角）。

公司HR收到的：完整的W-9税表、社会安全号码、银行转账信息——全是真的，只是不属于屏幕前那个人。

这种"物理层欺骗"绕过了大多数数字安全检测。防火墙、VPN审计、双因素认证，全都正常通过。因为从技术角度看，登录请求确实来自美国境内的一台实体设备。

骗局的关键在于中间人环节。Kejia和Zhenxing不只是提供基础设施，他们还负责"面试代打"——用被盗身份的视频素材应付实时面试，或者在必要时亲自出镜扮演"候选人"。

朝鲜方面则提供技术劳动力。据FBI和联合国专家组的公开报告，平壤系统性培养IT人才，专门瞄准海外远程岗位。这些程序员技术能力不差，英语通过培训达到可用水平，薪资要求却远低于市场。

一个朝鲜程序员在美国公司拿8000-15000美元月薪，其中70-80%上缴国家。对平壤来说，这是绕过制裁的硬通货来源；对中介来说，抽成比例足够诱人；对美国公司来说，"高性价比"的远程工程师似乎是天降馅饼。

三方共赢，除了那个被盗用身份的美国人，以及最终被渗透的企业网络。

100多家公司怎么被骗的？招聘流程的系统性盲区

司法部文件披露了一个令人不安的数字：超过100家美国公司中招，包括财富500强企业。

这不是小作坊的疏忽。大型企业的招聘流程有背景调查、身份验证、多轮面试——理论上应该能拦截这种骗局。

但疫情后的远程招聘常态，创造了完美的攻击窗口。

首先是视频面试的局限性。2020年后，"Zoom面试"成为标配，但企业很少要求候选人展示政府ID并实时比对。Kejia团伙使用的被盗身份资料足够完整，包括驾照照片、社会安全卡扫描件，足以应付形式审查。

其次是入职流程的脱节。很多公司将身份验证外包给第三方背景调查机构，而这些机构的数据库更新滞后，无法识别"真身份、假使用者"的情况。

更深层的问题是成本压力下的招聘焦虑。2021-2023年科技行业扩张期，企业疯狂争抢远程技术人才。当一个"资深全栈工程师"接受低于市场30%的薪资时，HR的直觉可能是"捡漏"而非"警惕"。

朝鲜程序员的真实技术水平，从后续事件可见一斑。部分受害者公司后来发现，这些"员工"确实完成了交付任务——代码质量合格，甚至优于平均水平。这意味着骗局能持续，部分原因是"产品"本身说得过去。

但风险藏在细节里。这些笔记本农场里的机器，同时是朝鲜情报机构的潜在跳板。美国司法部的指控明确提到：「进入美国计算机系统，危害国家安全。」

企业网络一旦被接入，横向移动、数据窃取、长期潜伏都是标准操作。3百万美元的集体损失中，很大一部分是事后安全审计和网络修复费用。

500万美元 vs 6.8亿美元：朝鲜IT外包的真实规模

Kejia和Zhenxing的案子判了，但数字需要放在更大图景中理解。

这对搭档三年运作，帮朝鲜获得约500万美元收入。听起来不少，但联合国专家组2024年的估计显示：朝鲜全球IT工人网络年收入可能高达6.8亿美元。

差距在哪？

新泽西这个案子只是冰山一角。美国司法部同期还在追查其他"笔记本农场"运营者，涉及佐治亚州、德州等多个地点。全球范围内，中国、俄罗斯、东南亚都有类似据点。

更隐蔽的是"纯远程"模式——不需要物理农场，直接通过VPN和云桌面服务伪装位置。这种操作成本更低，但技术要求更高，需要更成熟的网络基础设施支持。

朝鲜的IT外包产业已经高度组织化。据脱北者和情报机构披露，平壤有专门机构筛选、培训、派遣海外IT人员。候选人需要通过严格的政治审查和技术考核，出国（或在境内远程工作）期间受到严密监控。

收入分成比例惊人。一个典型的朝鲜远程程序员，月薪1.2万美元，个人到手可能只有200-300美元，其余上缴国家。即便如此，这仍是平壤普通公务员收入的数十倍，足以驱动大量人才涌入这个领域。

制裁漏洞是结构性问题。联合国安理会决议禁止成员国雇佣朝鲜劳工，但远程工作模糊了"雇佣"的地理边界。公司注册在美国，程序员物理位置不明，合同通过层层外包公司签署——法律追责极其困难。

美国财政部和国务院近年来多次发布警告，列出疑似朝鲜IT人员的识别特征：简历中的技术栈过于宽泛、面试时回避摄像头或背景可疑、要求通过加密货币支付、使用特定邮箱域名等。

但这些指标误报率很高，且朝鲜方面快速迭代对策。比如新泽西案子中的"笔记本农场"，就是为了解决"视频面试必须露脸"这个痛点而诞生的物理层解决方案。

远程办公信任链的崩塌与重建

这个案子最讽刺的启示：我们花了十年构建"随时随地工作"的技术基础设施，却忽略了最基础的信任验证。

数字身份和物理身份之间的鸿沟，被Kejia团伙用几十台笔记本填平了。

企业现在的应对是"过度矫正"。部分公司开始要求新员工到指定地点完成生物识别验证，或者强制使用公司配发的、带有硬件安全模块的设备。这些措施有效，但也侵蚀了远程办公的灵活性优势。

更有意思的是技术反击。一些初创公司推出"连续身份验证"服务，通过打字节奏、鼠标移动模式、甚至摄像头前的微表情分析，实时判断操作者是否与注册身份匹配。这听起来像《黑镜》剧情，但市场需求真实存在。

区块链身份验证是另一个探索方向。自我主权身份（SSI，Self-Sovereign Identity）理念主张，个人持有加密签名的可验证凭证，而非依赖容易被盗的中心化数据库。但大规模落地仍需时日。

短期内，最实际的改进可能是招聘流程的"人际回退"——增加一轮由公司内部员工进行的、要求实时互动的视频面试，而非完全依赖外包的背调机构。

新泽西案子的被告Kejia和Zhenxing，据法庭记录，并非朝鲜公民，而是华裔美国人。他们的动机纯粹是经济利益：每成功安置一个"员工"，抽取固定比例佣金。这种"中立中介"角色，让法律定性变得复杂——他们确实知道自己在帮朝鲜绕过制裁，但未必直接参与后续的网络安全危害。

检察官的回应是重判。9年和7年8个月的刑期，在白领犯罪中属于顶格处理。没收60万美元外加后续监督释放，传递的信号明确：协助制裁规避的代价，远高于表面收益。

但对朝鲜来说，这只是运营成本的一部分。6.8亿美元的年收入规模，意味着他们可以承受相当比例的"损耗"，仍有充足动力继续扩张。

这场猫鼠游戏的终局，取决于企业端的安全投入意愿，以及国际社会对远程劳动监管的协调程度。两者目前都不乐观。

当"高性价比远程人才"的招聘广告下一次出现在你的邮箱里，你会怎么验证屏幕那头是谁？