兩美國人幫朝鮮人遠程打工，200個月牢飯管飽

一家美國國防承包商招了個程序員，干了三年才發現對方人在平壤。這不是諜戰片開場，是司法部剛結案的卷宗細節。

42歲的Kejia "Tony" Wang和39歲的Zhenxing "Danny" Wang本周被判刑，合計200個月。罪名是幫朝鮮IT工人偽造身份，滲透進100多家美國公司——其中不少是財富500強。

這案子最荒誕的部分在于：它完全依賴美國遠程辦公的基礎設施。公司主動寄電腦、開VPN賬號、按月打工資，騙子們只需要解決"人在哪里"這個信息缺口。

一張圖看懂：朝鮮碼農的"美國上班"全鏈條

整個騙局可以拆解成四個環節，每個環節都精準利用了美國科技公司的管理漏洞。

【環節一：身份殼】

Tony Wang的核心工作是偷身份。法庭文件顯示，他至少搞到了80個美國公民的完整資料——社保號、地址、信用記錄。這些身份被分配給朝鮮程序員，用于通過背景調查。

美國公司招遠程員工時，背調通常外包給第三方。騙子們發現：只要身份資料齊全，系統不會驗證"申請人是否真的是這個人"。

更諷刺的是，部分受害者本身就是做身份驗證業務的。一家被滲透的國防承包商，主營業務包括網絡安全。

【環節二：設備農場】

公司錄用"新員工"后，會寄送工作電腦。這些電腦被寄到Danny Wang等人運營的"laptop farm"——字面意義上的筆記本農場。

一個農場同時運轉數十臺設備，朝鮮程序員通過遠程桌面連接。IP地址顯示在美國某處，考勤系統記錄正常登錄，代碼提交時間分布合理。

法庭文件提到，僅這個團伙就操作了數百臺筆記本。 facilitators（ facilitators， facilitators，Tony Wang管著至少五個）的工作就是保持設備在線、處理硬件故障、應對偶爾的IT支持請求。

有個細節：當公司要求視頻開會時，facilitators會找替身出鏡，或者借口"攝像頭壞了"。多數公司遠程管理松散，這種借口能混過去。

【環節三：資金洗白】

Tony Wang在美國注冊了多家空殼公司，名義提供軟件開發服務。美國公司把工資打進這些賬戶，再被拆分成多筆轉賬流向海外。

三年間，這個網絡為朝鮮創造了500萬美元收入。Tony Wang和他的五個手下分到約70萬美元——司法部最終追繳了60萬，其中40萬已到賬。

對比很刺眼：朝鮮程序員實際到手的比例極低，大部分被平壤抽走。但對個體而言，這仍是制裁背景下罕見的美元收入來源。

【環節四：成本轉嫁】

騙局暴露后，受害公司的損失不止被騙的工資。司法部統計，100多家公司合計承擔了300萬美元額外成本——律師費、網絡取證、系統重建。

一家國防承包商的情況更麻煩：朝鮮程序員接觸過內部代碼庫，安全審查必須假設"最壞情況"。這種隱性成本難以量化，但遠高于賬面損失。

遠程辦公的信任悖論

這案子2021年啟動，2024年收網，正好覆蓋美國科技業大規模遠程辦公的周期。疫情讓"不見面入職"成為常態，騙子們順勢完成了壓力測試。

他們的成功揭示了一個設計缺陷：遠程辦公系統驗證的是"設備在哪里"，而非"人是誰"。

當公司把筆記本寄到某個美國地址，看到美國IP登錄，默認信任鏈就建立了。背景調查驗證的是靜態數據（社保號、學歷），而非動態行為（打字節奏、代碼風格、視頻互動質量）。

更深層的問題是成本結構。100多家公司中招，說明個案金額小到不足以觸發警覺。單個朝鮮程序員的年薪可能8-12萬美元，在硅谷屬于中等偏下水平，不會進入高管復核流程。

直到某次安全審計、或者某個facilitator操作失誤，才會暴露。

朝鮮IT外包的產業化

美國官方反復強調：這類騙局的主要受益者是朝鮮政權。但卷宗細節顯示，運作方式已經高度專業化。

朝鮮程序員不是隨機接單，而是被編入特定團隊。有人專攻前端，有人做后端，有人負責應付技術面試——面試也由facilitators安排的替身完成，或者提前錄音合成。

他們的產出質量參差不齊。部分公司反饋"代碼還行"，另一些發現嚴重延期后選擇終止合同，但沒聯想到欺詐。

這種"低質量混過去"的策略，本身是一種篩選：管理松散的公司會留用，嚴格的公司會自然淘汰，騙子無需額外成本。

Tony Wang的角色類似項目經理，協調身份、設備、資金三條線。他的五個facilitators可能是獨立承包商，按接入設備數量或成功入職人數提成。

這種模式的可復制性令人擔憂。一個Tony Wang落網，不代表基礎設施消失。身份黑市、設備農場、跨境支付通道都是模塊化組件。

企業端的防御盲區

受害公司的共同特征是什么？司法部沒公布完整名單，但從描述看，它們都具備三個條件：接受遠程入職、IT自主權限較高、背調外包且不復核。

國防承包商中招尤其值得注意。這類企業通常有安全許可要求，但許可審查針對的是"員工是否可信"，而非"員工是否真實存在"。

當騙子用真美國人的身份資料申請，審查系統看到的是清白記錄。生物識別環節的缺失——比如入職視頻驗證、實時動態檢測——成為關鍵突破口。

部分公司已經開始修補。更嚴格的設備指紋追蹤、異常登錄行為分析、代碼提交模式比對，都被納入風控工具箱。

但這些措施增加摩擦。遠程辦公的核心賣點是"降低招聘地理限制"，過度驗證會抵消這一優勢。企業需要在安全和效率之間重新找平衡點。

制裁與現實的裂縫

從朝鮮視角看，這是制裁體系下的理性選擇。IT服務不依賴實物出口，不需要穿越海上封鎖線，利潤率高且難以追蹤。

聯合國專家小組此前估計，朝鮮海外IT工人年收入總額可能達數億美元。本次案件的500萬美元只是冰山一角，且屬于運作相對粗糙、最終被查獲的部分。

更隱蔽的網絡可能從未暴露。它們使用更復雜的身份洗白、更分散的設備節點、更間接的資金路徑。

對個體程序員而言，參與這類計劃風險極高——不僅是法律風險，還包括朝鮮國內的政治風險。但制裁擠壓下的經濟壓力，讓這種冒險具備吸引力。

美國司法部的回應是加重刑罰。200個月刑期（約16.7年）針對的是組織者而非終端程序員，意在提高供應鏈成本。

但刑期威懾對跨國網絡效果有限。Tony Wang和Danny Wang是美國公民，容易被抓捕起訴。facilitators鏈條上的其他環節——身份販子、設備農場運營者、海外資金接收方——很多位于司法管轄盲區。

技術中立性的邊界

這案子最尷尬的啟示或許是：遠程辦公技術本身沒有善惡，但它的設計假設（員工可信、身份可驗證、地理可追蹤）正在被系統性利用。

當科技公司推銷"全球人才無邊界"時，很少討論驗證成本該由誰承擔。背景調查公司按單收費，沒有動力提高檢測深度；企業HR追求招聘效率，不愿增加入職 friction；政府監管滯后于技術濫用形態。

結果是，一個利用美國基礎設施為朝鮮創匯的網絡，運轉了三年才被發現。期間它完美融入了合法的遠程經濟生態，甚至部分"員工"的代碼質量通過了同行評審。

現在，100多家公司正在重新檢查它們的遠程員工名單。問題是：如果騙局可以做得更精細——更自然的視頻替身、更匹配身份背景的代碼風格、更分散的設備節點——現有檢測手段還能抓住什么？