Các kỹ sư công nghệ thông tin (IT) của Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK) đang khai thác các nền tảng chia sẻ mã nguồn phổ biến như GitHub, CodeSandbox và Medium. Mục tiêu là xây dựng hồ sơ nhà phát triển giả mạo, từ đó chiếm các vị trí làm việc từ xa dưới danh tính không có thật. Đây là một mối đe dọa mạng phức tạp và có tổ chức, nhằm mục đích gây quỹ phi pháp cho các chương trình vũ khí của Triều Tiên.

Chiến Thuật Tinh Vi Để Xâm Nhập Mạng Và Gian Lận

Các cuộc điều tra đã phát hiện khoảng 50 hồ sơ GitHub đang hoạt động do các tác nhân Triều Tiên điều hành. Ngoài ra, hàng chục hồ sơ khác trên các trang web freelancer chuyên biệt và diễn đàn cũng được ghi nhận. Những kẻ thực hiện các hoạt động này sử dụng ảnh hồ sơ deepfake, sơ yếu lý lịch giả mạo được lưu trữ trên Vercel và các cổng thông tin freelancer.

Quốc tịch được các tác nhân này áp dụng một cách chiến lược, chủ yếu là Hoa Kỳ, nhằm vượt qua quá trình sàng lọc nghiêm ngặt của nhà tuyển dụng. Hành vi này không chỉ là một hình thức gian lận đơn thuần mà còn là một mối đe dọa mạng chiến lược, khai thác lỗ hổng trong quy trình tuyển dụng từ xa.

Mạng Lưới Và Cơ Cấu Tổ Chức

Mạng lưới hoạt động này được điều phối bởi Bộ 53 (Department 53), thuộc Bộ Quốc phòng Triều Tiên. Ước tính số tiền thu được hàng năm từ 250 triệu đến 600 triệu USD được chuyển trực tiếp vào các chương trình phát triển vũ khí của Triều Tiên. Việc này tạo ra một mối đe dọa mạng đáng kể đối với an ninh kinh tế toàn cầu và sự ổn định khu vực.

Phân Tích Hoạt Động Trên Nền Tảng Kỹ Thuật

Tiếp nối các phân tích về mẫu địa chỉ email được sử dụng bởi các kỹ sư IT Triều Tiên, chúng tôi đi sâu vào hoạt động của họ trên các nền tảng chia sẻ mã nguồn và hệ sinh thái làm việc từ xa. Bằng cách kiểm tra các kho lưu trữ GitHub, hồ sơ chào mời freelancer và các tạo phẩm sơ yếu lý lịch, chúng tôi đã làm rõ các chiến thuật tinh vi mà các tác nhân này sử dụng để xâm nhập mạng lưới tuyển dụng toàn cầu và gây quỹ cho chế độ DPRK.

Các Hồ Sơ GitHub Đáng Chú Ý

Các nhà điều tra đã xác định được khoảng 50 tài khoản GitHub đang hoạt động có liên quan đến Triều Tiên. Các tài khoản này, như alchemist0803, SkyCaptainess, và branchdev98, thường thể hiện tần suất commit cao và đa dạng dự án. Đây là một phần trong chiến lược xây dựng danh tiếng và độ tin cậy giả mạo.

Thông tin chi tiết về các hoạt động này có thể được tìm thấy tại nguồn điều tra. Bảy hồ sơ bổ sung đã bị vô hiệu hóa, cho thấy chiến thuật xoay vòng định kỳ danh tính để tránh bị phát hiện.

Nền Tảng Hoạt Động Đa Dạng

Ngoài GitHub, các đặc vụ DPRK còn duy trì sự hiện diện tích cực trên nhiều nền tảng khác. Các nền tảng này bao gồm CodeSandbox, Medium, RemoteHub, CrowdWorks, và các diễn đàn chuyên biệt. Họ nhắm mục tiêu vào các công nghệ có nhu cầu cao như WebRTC, AWS, Docker, và React.js.

Các hồ sơ chào mời freelance thường nhấn mạnh vào hiệu quả chi phí, tốc độ giao hàng nhanh chóng và các kỹ năng chuyên biệt. Trong khi đó, các truy vấn công khai trên các kho lưu trữ mã nguồn mở được dùng làm vỏ bọc cho việc tham gia cộng đồng và thể hiện kỹ năng thực tế.

Sơ Yếu Lý Lịch Giả Mạo Và Công Nghệ Deepfake

Mười hai sơ yếu lý lịch gian lận đã được phát hiện trên LaborX, FlowCV, và các trang Vercel cá nhân. Các quốc tịch được tuyên bố trong các hồ sơ này rất đa dạng, bao gồm Hoa Kỳ, Canada, Nhật Bản, Ba Lan, Colombia, Serbia và Kazakhstan. Chức danh công việc cũng trải dài từ nhà phát triển blockchain đến kiến trúc sư AI.

Một hồ sơ được lưu trữ trên Vercel thậm chí đã sử dụng ảnh đại diện deepfake, được xác minh bằng các công cụ phát hiện dựa trên AI. Điều này chứng tỏ sự sẵn sàng của các đặc vụ trong việc sử dụng phương tiện tổng hợp để né tránh các kiểm tra nhận dạng trực quan, làm tăng thêm rủi ro bảo mật cho các công ty tuyển dụng.

Các Sự Cố Nổi Bật Và Bối Cảnh Địa Chính Trị

Các sự cố lớn liên quan đến hoạt động này bao gồm Chiến dịch Dream Job (2020), vụ vi phạm tuyển dụng KnowBe4 (2024), kế hoạch trang trại laptop của Christina Chapman (2019–2023) và vụ cướp Bybit (2025). Những vụ việc này cho thấy quy mô và tác động của các hoạt động này.

Triều Tiên, trong lịch sử phụ thuộc vào Nga từ năm 1948, đã tăng cường hợp tác IT dưới vỏ bọc các chương trình visa du học. Việc này nhằm mục đích lách các lệnh trừng phạt của Liên Hợp Quốc, nhấn mạnh một mối đe dọa mạng địa chính trị ngày càng mở rộng. Các hoạt động gần đây của nhóm APT Kimsuky sử dụng cơ sở hạ tầng và địa chỉ email của Nga làm nổi bật mối liên kết mạng lưới Nga-DPRK phối hợp.

Sự hỗ trợ quân sự lâu dài của Trung Quốc cho Triều Tiên càng làm phức tạp thêm việc quy kết nguồn gốc tấn công. Nhiều đặc vụ DPRK định tuyến lưu lượng truy cập qua các proxy Trung Quốc để che giấu nguồn gốc thực sự từ Bình Nhưỡng. Sự phức tạp này đặt ra một mối đe dọa mạng đa chiều cho các quốc gia và tổ chức.

Các Chỉ Số Thỏa Hiệp (IOCs)

Để hỗ trợ việc phát hiện và phòng ngừa, dưới đây là các chỉ số thỏa hiệp liên quan đến các hoạt động của kỹ sư IT DPRK:

• Tài khoản GitHub được xác định:
  • alchemist0803
  • SkyCaptainess
  • branchdev98
• Các nền tảng được sử dụng để xây dựng hồ sơ và tìm việc:
  • GitHub
  • CodeSandbox
  • Medium
  • RemoteHub
  • CrowdWorks
  • LaborX
  • FlowCV
  • Vercel
  • Các diễn đàn chuyên biệt (WebRTC, AWS, Docker, React.js)
• Kỹ thuật nhận diện: Ảnh hồ sơ deepfake được phát hiện bằng công cụ AI.

Nâng Cao An Ninh Mạng Để Đối Phó Mối Đe Dọa Này

Việc DPRK kết hợp các nền tảng mã nguồn mở, công nghệ deepfake và danh tính che đậy đa quốc gia đặt ra một mối đe dọa mạng toàn cầu dai dẳng. Để đối phó hiệu quả, các tổ chức cần cải thiện đáng kể quy trình tuyển dụng và xác minh danh tính. Khi các quy trình tuyển dụng từ xa tiếp tục phát triển, các công ty phải tăng cường xác minh danh tính và triển khai các giải pháp công nghệ tiên tiến.

Điều này bao gồm việc sử dụng phân tích hình ảnh dựa trên AI và đối chiếu các mẫu hành vi trên các nền tảng khác nhau. Chỉ một phản ứng thống nhất, am hiểu về an ninh mạng và công nghệ mới có thể ngăn chặn dòng tài trợ bất hợp pháp này. Việc này sẽ giúp cắt đứt nguồn tài chính nuôi dưỡng các chương trình vũ khí của Triều Tiên, giảm thiểu mối đe dọa mạng toàn cầu.