Północnokoreańscy informatycy: jak zablokować fałszywego zdalnego pracownika

Schemat z północnokoreańskimi informatykami to finansowana przez państwo operacja oszustwa, która podstawia fałszywych zdalnych pracowników do zachodnich firm przy użyciu skradzionych tożsamości, amerykańskich pośredników prowadzących „farmy laptopów” i rozmów rekrutacyjnych wspieranych przez AI. Sam segment fałszywych pracowników regularnie przynosi reżimowi w Korei Północnej szacunkowo od 250 do 600 milionów dolarów rocznie w wyłudzonych pensjach i właśnie teraz jest przedmiotem postępowań przed amerykańskimi sądami federalnymi. Żeby go powstrzymać, weryfikuj tożsamość już na wejściu, prowadź rozmowy z włączoną kamerą i testami na deepfake’i na żywo, wysyłaj sprzęt wyłącznie na zweryfikowany adres i nie przyznawaj żadnego dostępu do systemów, dopóki nie przejdzie weryfikacja przeszłości. Linią obrony jest Twój lejek rekrutacyjny, a nie firewall.

Jest w tym coś niewygodnego, czego większość porad o bezpieczeństwie nie porusza: napastnik się nie włamuje. On aplikuje. Świetnie wypada na rozmowie. Przyjmuje ofertę, podpisuje dokumenty i przechodzi onboarding. To proces rekrutacji jest powierzchnią ataku — a w zespołach pracujących zdalnie, za którymi nie stoi żaden dział bezpieczeństwa, jest ona otwarta na oścież.

Czym tak naprawdę jest schemat z północnokoreańskimi informatykami

Schemat wykorzystuje prawdziwe amerykańskie tożsamości, by północnokoreańscy agenci zostali zatrudnieni na legalnych, zdalnych stanowiskach inżynierskich, a opłacony amerykański wspólnik sprawia, że pracownik uchodzi za miejscowego. Sam pracownik fizycznie przebywa w Chinach, Rosji albo gdzie indziej; operator „farmy laptopów” na terenie USA odbiera firmowego laptopa, instaluje oprogramowanie do zdalnego dostępu i pozwala zalogować się pracownikowi zza granicy. Pracodawca jest przekonany, że zatrudnił miejscowego inżyniera. Nie zatrudnił.

Amerykański Departament Sprawiedliwości podaje, że Korea Północna „rozmieściła na całym świecie tysiące wysoko wykwalifikowanych informatyków”, a sieć pośredników obejmuje wiele krajów (źródło: DOJ, ogólnokrajowa akcja z czerwca 2025). To nie garstka okazjonalnych naciągaczy. To uprzemysłowiony strumień przychodów — z podziałem ról, własnymi narzędziami i celem w postaci obchodzenia sankcji.

Liczby bez przekłamań: 2,8 mld dolarów w krypto kontra 250-600 mln w pensjach

Te dwie liczby są nieustannie mylone, a ich rozdzielenie to najszybszy sposób, by rozpoznać, kto naprawdę rozumie ten temat. Multilateral Sanctions Monitoring Team (MSMT) wycenia całość przychodów Korei Północnej z cyberataków i działalności informatyków na mniej więcej 2,8 miliarda dolarów od stycznia 2024 do września 2025, ale większość tej kwoty to kradzież kryptowalut, a nie pensje (źródło: raport MSMT Departamentu Stanu USA, podsumowany przez Chainalysis).

Sam schemat fałszywych informatyków to osobny, mniejszy strumień, który ONZ szacuje na 250-600 milionów dolarów rocznie w wyłudzonych pensjach (źródło: Fortune, powołując się na dane ONZ). Pojedynczy pracownicy zarabiają podobno od 3500 do 10 000 dolarów miesięcznie. Kiedy więc czytasz, że „fałszywi informatycy przynoszą 2,8 miliarda dolarów”, to nieprawda. Schemat pensyjny to jeden filar większej machiny — i akurat ten filar przebiega prosto przez Twój system rekrutacyjny.

Łańcuch: skradziona tożsamość → amerykański pośrednik → farma laptopów → pranie pieniędzy

Ten sam mechanizm powtarza się w każdej osądzonej sprawie:

1. Skradziona lub pożyczona tożsamość. Agent posługuje się nazwiskiem, numerem ubezpieczenia (SSN) i adresem prawdziwego Amerykanina — często kupionymi lub pozyskanymi przy wcześniejszych wyciekach danych.
2. Pośrednik na terenie USA. Opłacony wspólnik (operator „farmy laptopów”) nadaje schematowi krajowy charakter, odbierając firmowego laptopa pod amerykańskim adresem.
3. Zdalny dostęp. Pośrednik instaluje oprogramowanie do zdalnego sterowania, dzięki czemu zagraniczny pracownik działa tak, jakby siedział przy tym amerykańskim biurku.
4. Pranie pensji. Wynagrodzenia trafiają do pośrednika, a stamtąd są kierowane za granicę do Korei Północnej, czasem przez kryptowaluty.

Wśród pośredników są zarówno świadomi naciągacze nastawieni na zysk, jak i ludzie zwerbowani przez ogłoszenia „praca z domu”, którzy nie do końca rozumieją, w co się wpakowali. Tak czy inaczej, firma po drugiej stronie widzi nieskazitelną listę płac i pracującego inżyniera.

To nie szum, to sprawy ścigane federalnie

Jeśli wrzuciłeś to do szufladki „marketingowe straszenie firm od bezpieczeństwa”, zrewiduj to. Departament Sprawiedliwości wywalczył wieloletnie wyroki więzienia dla amerykańskich pośredników, na których stoi cały proceder, a akta tych spraw czyta się jak instrukcję obsługi tego oszustwa.

Farma laptopów w Arizonie: 309 firm, 17 mln dolarów, 102 miesiące

Sztandarowa sprawa to Christina Chapman, która prowadziła farmę laptopów we własnym domu w Arizonie. 24 lipca 2025 roku została skazana na 102 miesiące więzienia. Jej proceder przyniósł ponad 17 milionów dolarów, naraził na straty 309 amerykańskich firm (w tym jedną z pięciu największych sieci telewizyjnych, firmę technologiczną z Doliny Krzemowej i przedsiębiorstwa z listy Fortune 500) i opierał się na 68 skradzionych amerykańskich tożsamościach (źródło: DOJ).

Podczas przeszukania jej domu w 2023 roku zabezpieczono ponad 90 laptopów ustawionych w zorganizowane stanowisko robocze, a wcześniej wysłała 49 urządzeń za granicę, w tym kilka przesyłek do chińskiego miasta przy granicy z Koreą Północną (źródła: DOJ; The Record). Wyobraź sobie ten obraz: podmiejski dom, a w nim 90 firmowych laptopów buczących na półkach — każdy z nich to zdalny inżynier w innej firmie.

Prokurator federalna Jeanine Pirro ujęła płynący z tego wniosek w jednym zdaniu:

Telefon dzwoni z wnętrza domu… Firmy, które nie weryfikują wirtualnych pracowników, stanowią zagrożenie dla bezpieczeństwa nas wszystkich. To wy jesteście pierwszą linią obrony przed zagrożeniem ze strony Korei Północnej.

Ogólnokrajowa obława w 2025: 16 stanów, 29 farm laptopów

Chapman nie była odosobnionym przypadkiem. W czerwcu 2025 roku skoordynowana akcja DOJ objęła 16 stanów, w których przeszukano 29 znanych lub podejrzewanych farm laptopów i zabezpieczono około 200 komputerów, 29 kont finansowych i 21 fałszywych witryn internetowych. Pracownicy zdobyli posady w ponad 100 amerykańskich firmach. W jednym ze schematów wykradli amerykańską technologię wojskową objętą kontrolą eksportu; w innym północnokoreańscy pracownicy w blockchainowej firmie z Atlanty ukradli około 900 000 dolarów w kryptowalucie (źródło: DOJ).

W kwietniu 2026 roku dwóch kolejnych pośredników, Kejia Wang i Zhenxing Wang, skazano na 108 i 92 miesiące za podstawianie północnokoreańskich pracowników do ponad 100 amerykańskich firm z wykorzystaniem co najmniej 80 skradzionych tożsamości, co przyniosło reżimowi ponad 5 milionów dolarów. Zastępca prokuratora generalnego nie owijał w bawełnę: cały podstęp „umieścił północnokoreańskich informatyków na listach płac niczego nieświadomych amerykańskich firm i w amerykańskich systemach komputerowych, szkodząc tym samym naszemu bezpieczeństwu narodowemu” (źródło: DOJ).

To już ugruntowana linia orzecznicza. Setki firm, kwoty ośmio- i dziewięciocyfrowe oraz wyroki liczone w latach.

Jak AI podbiło stawkę i jak samo zdradza oszustów

AI nie stworzyło tego schematu. To dopalacz dokręcony do trzonu oszustwa, czyli skradzionej tożsamości plus pośrednika. Ale to dopalacz jak najbardziej realny — i te same narzędzia, które pozwalają agentowi sfałszować rozmowę, zostawiają też ślady, które możesz sprawdzić.

Deepfake w czasie rzeczywistym w 70 minut

Zespół Unit 42 z Palo Alto Networks przeprowadził eksperyment, który powinien spędzać sen z powiek każdemu rekruterowi: pojedynczy badacz, bez doświadczenia w obróbce obrazu, ze znikomą wiedzą o deepfake’ach i na pięcioletnim komputerze, zbudował syntetyczną tożsamość na potrzeby rozmów rekrutacyjnych w 70 minut, używając konsumenckiej karty graficznej z 2020 roku i darmowych narzędzi (źródło: Unit 42). Taki jest dziś próg wejścia. Żadne państwowe laboratorium, żaden specjalistyczny sprzęt. Siedemdziesiąt minut na starym pececie do gier.

Agenci łączą podmianę twarzy w czasie rzeczywistym z narzędziami do maskowania głosu w czasie rzeczywistym, które ukrywają akcent — dzięki temu kandydat na Twojej rozmowie może wyglądać i brzmieć jak Amerykanin, którego tożsamość ukradł (źródła: Unit 42; Dark Reading).

Dobra wiadomość: deepfake’i w czasie rzeczywistym są obliczeniowo kruche. Sypią się w warunkach, na które model nie był trenowany. Poproś kandydata, żeby:

• powoli przesunął dłonią przed twarzą,
• obrócił się całkowicie profilem i zatrzymał w tej pozycji,
• wykonał szybki ruch głową,
• nagle zmienił oświetlenie.

Każdy z tych ruchów zwykle wywołuje zniekształcenia, opóźnienie albo artefakty, za którymi podmiana twarzy nie nadąża. O żadną z tych rzeczy nie wypada się obrazić, a wszystkie są tanie do przeprowadzenia.

Maskowanie głosu, syntetyczne tożsamości i „zbyt czyste” profile

Poza samą rozmową swoją historię opowiada też ślad dokumentów, jeśli umiesz go czytać. Wypatruj tożsamości bez naturalnej historii cyfrowej: świeżutkiego konta na GitHubie przy CV deklarującym dziesięć lat doświadczenia, podejrzanie ubogiego albo podejrzanie wypolerowanego LinkedIna, referencji, z którymi nie da się skontaktować, oraz numerów VoIP lub Google Voice zamiast prawdziwej linii operatora (źródła: SpyCloud; Unit 42). Profil „zbyt czysty” to taki sam sygnał ostrzegawczy jak profil pełen dziur. O szerszym problemie uczciwości, jaki AI wprowadza do rozmów rekrutacyjnych, pisaliśmy w tekście o kandydatach-deepfake’ach i oszustwach rekrutacyjnych z AI; ten artykuł dotyczy konkretnego, objętego sankcjami przeciwnika, który prowadzi pełny łańcuch oszustwa.

Rekrutacja jest dziś powierzchnią ataku

Zespół bezpieczeństwa powinien interesować się Twoim lejkiem rekrutacyjnym z prostego powodu: to ten lejek jest wektorem wejścia. Nie ma żadnego perymetru do przełamania, gdy przeciwnik wchodzi z ważnym listem ofertowym w ręku.

Po zatrudnieniu ci pracownicy nie poprzestają na inkasowaniu pensji. W osądzonych sprawach okradali pracodawców z technologii wojskowej objętej kontrolą eksportu i z kryptowalut (źródło: DOJ). A szkody nie kończą się wraz ze zwolnieniem: po wykryciu lub zwolnieniu niektórzy północnokoreańscy informatycy szantażowali byłych pracodawców, grożąc ujawnieniem skradzionego kodu źródłowego i danych firmowych — co skłoniło FBI do wydania konkretnych ostrzeżeń (źródło: Bitdefender/FBI).

Czarny scenariusz nie brzmi więc tutaj „zatrudniliśmy słabego pracownika, który nie dowoził”. To narażenie na sankcje, kradzież własności intelektualnej i groźba szantażu, w której kartą przetargową są Twoje prywatne repozytoria. To przesuwa weryfikację tożsamości z poziomu miłego dla HR detalu na poziom kontroli bezpieczeństwa — czyli ta sama zmiana optyki, o której pisaliśmy w kontekście martwych punktów rekrutacji w świetle SOC 2.

Zestaw kontroli: wejście, rozmowa, onboarding

Obroną jest warstwowy zestaw kontroli, na który zbieżnie wskazują FBI/IC3, OFAC i Unit 42. Żadna pojedyncza weryfikacja nie jest rozstrzygająca; razem sprawiają jednak, że Twój lejek robi się na tyle kosztowny do przejścia, że agenci przerzucają się na łatwiejszy cel. Oto plan gry etap po etapie.

Weryfikuj tożsamość już na wejściu (analiza dokumentów + liveness)

Zacznij, zanim dojdzie do pierwszej rozmowy. Pobierz dokument tożsamości i prześwietl go pod kątem przeróbek, daty ważności i zabezpieczeń charakterystycznych dla danego kraju; zdjęcia złej jakości odrzucaj od razu. Połącz dokument z wykrywaniem żywej osoby (liveness), żeby wykluczyć statyczne zdjęcie lub deepfake’a, i porównaj twarz z ujęcia na żywo z fotografią w dokumencie (źródła: komunikat FBI IC3; ID Dataweb). Cel na wejściu jest prosty: zweryfikować człowieka, a nie tylko CV.

Tu właśnie liczy się zweryfikowany kanał kontaktu z kandydatem. Portal kandydata w Kit korzysta z bezhasłowego dostępu przez magic link zamiast formularza aplikacyjnego z dowolnym polem tekstowym — to daje Ci jeden zweryfikowany kanał komunikacji już na starcie, a przy okazji naturalne miejsce, żeby dołożyć weryfikację dokumentu i liveness.

Sygnały integralności rozmowy, które wyłapują podstawione osoby i deepfake’i

Włączona kamera musi być obowiązkowa, a rozmowy nagrywaj za zgodą kandydata. Następnie spraw, by rozmowy nie dało się wyreżyserować z góry:

• Zadawaj spontaniczne pytania nie do wygooglowania: o lokalne punkty orientacyjne w okolicy podanego adresu, o dzisiejsze wiadomości, o dzisiejszą pogodę tam, gdzie kandydat rzekomo się znajduje.
• Zmieniaj zestawy pytań, żeby odpowiedzi nie dało się wykuć z Glassdoor.
• Zwracaj uwagę na długie pauzy przy pytaniach z wiedzy podstawowej — to sygnał, że ktoś przekazuje odpowiedzi od kolegi spoza kadru.
• Przeprowadź opisane wyżej fizyczne testy liveness, żeby rozbić każdą podmianę twarzy w czasie rzeczywistym.

(Źródła: Help Net Security; WeLiveSecurity.)

Potwierdź, że oceniany to ten, kogo zatrudniasz

Najostrzejszą bronią schematu jest podstawiona osoba: zdolny inżynier rozgrywa rozmowę celująco, a potem pracę wykonuje ktoś inny. Twoim zadaniem jest udowodnić, że osoba, którą oceniałeś, to osoba, której płacisz. Ustrukturyzowane zadanie programistyczne plus rozmowa kontrolna na żywo to najczystszy test, jaki istnieje. Niech kandydat wykona prawdziwą pracę, a potem, w nagrywanej sesji na żywo, poproś go, żeby omówił własny kod, rozbudował go i wyjaśnił decyzje, które powinien pamiętać, jeśli rzeczywiście to on go napisał.

Dokładnie z myślą o tym powstały zadania programistyczne w Kit. Zadanie dostarcza prawdziwe zlecenie z szablonowego repozytorium GitHub, a etap rozmowy na żywo pozwala zweryfikować, że osoba, która oddała pracę, to ta sama, która siedzi po drugiej stronie ekranu. Ciągłość między etapami — ten sam zweryfikowany kandydat od aplikacji przez zadanie po rundę na żywo — to ślad audytowy, który pokonuje podstawioną osobę.

Dyscyplina logistyki i dostępu

To kontrola operacyjna o najsilniejszym sygnale i zarazem najtańsza do wyegzekwowania. Zgodnie z wytycznymi FBI i OFAC: wysyłaj sprzęt wyłącznie na adres zweryfikowany w dokumencie tożsamości i wymagaj dodatkowej weryfikacji przy każdej zmianie adresu. Przeszkol HR i rekruterów, żeby wychwytywali zmiany adresu lub platformy płatniczej w trakcie onboardingu — to moment, w którym farma laptopów przekierowuje sprzęt. I nie przyznawaj żadnego dostępu do systemów, dopóki nie przejdzie weryfikacja przeszłości (źródła: komunikat FBI IC3; doradztwo OFAC/Departamentu Skarbu). Nagłe „a właściwie wyślijcie to na ten inny adres” tuż po ofercie to jeden z najgłośniejszych sygnałów w całym schemacie.

Gdy któryś etap zapali czerwoną lampkę — artefakty deepfake’a na rozmowie, numer VoIP, zmiana adresu w trakcie onboardingu — sygnał ten nie może wyparować w wątku na Slacku. Powinien trafić do ustrukturyzowanego procesu obsługi oszustw, z przypisanym właścicielem, dokładnie tak, jak zespół bezpieczeństwa obsługuje przychodzące zgłoszenie podatności. Ta obsługa sygnału o tożsamości w stylu CSIRT to pomost między rekrutacją a bezpieczeństwem, którego brakuje większości firm.

Jak prowadzić rekrutację odporną na oszustwa w Kit

Kit to ATS natywnie oparty na AI, który działa na styku ignorowanym przez większość narzędzi: rekrutacji jako procesu i bezpieczeństwa jako dyscypliny. Powyższe kontrole działają tylko wtedy, gdy są domyślne w Twoim lejku, a nie są przypomnieniami, co do których liczysz, że ktoś ich dopilnuje pod presją terminu. Oto jak każda z nich przekłada się na konkretną funkcję.

Doprecyzujmy zakres: Kit nie przeprowadzi za Ciebie analizy kryminalistycznej dokumentów ani weryfikacji liveness i żaden ATS sam z siebie nie „zapobiegłby” sprawie Chapman. Kit sprawia natomiast, że kontrole procesowe — te, które faktycznie wykrywają oszustwo — stają się ścieżką domyślną, a nie wyjątkiem: zweryfikowana tożsamość już na wejściu, zadania sprawdzane strukturalnie i na żywo oraz wiarygodny, możliwy do obronienia zapis tego, kto dokładnie był oceniany na każdym etapie. Ten sam moduł CSIRT, który napędza program ujawniania podatności w Kit, daje Ci uporządkowany schemat obsługi nadużyć — pozwala potraktować sygnał z rekrutacji jak incydent bezpieczeństwa.

Najczęściej zadawane pytania

Czy zagrożenie ze strony północnokoreańskich informatyków jest realne, czy to marketingowy szum dostawców? Realne i ścigane federalnie. DOJ wywalczył wyroki 102, 108 i 92 miesięcy więzienia dla amerykańskich pośredników, w ramach jednej akcji w 2025 roku przeszukał 29 farm laptopów w 16 stanach i udokumentował setki poszkodowanych firm. To rzeczywistość egzekwowania prawa, a nie marketing.

Jak duży jest ten schemat? Sam segment fałszywych informatyków przynosi Korei Północnej szacunkowo 250-600 milionów dolarów rocznie w wyłudzonych pensjach. Mieści się on w szerszej machinie cyberprzychodów reżimu, którą ONZ wycenia na około 2,8 miliarda dolarów w ciągu dwóch lat — przy czym większość tej kwoty to kradzież kryptowalut, a nie pensje.

Jakie są sygnały ostrzegawcze? „Zbyt czysty” lub świeżutki profil cyfrowy przy długim CV; numery VoIP lub Google Voice; opory przed włączeniem kamery; długie pauzy przy podstawowych pytaniach; artefakty deepfake’a przy obrotach głowy lub przy teście z dłonią przesuwaną przed twarzą; a najgłośniejszy ze wszystkich — prośba o zmianę adresu wysyłki lub platformy płatniczej tuż po ofercie.

Czy sama weryfikacja przeszłości może to powstrzymać? Nie. Schemat jest zaprojektowany tak, by przejść weryfikację przeszłości, bo posługuje się zweryfikowaną tożsamością prawdziwego Amerykanina. Tę weryfikację trzeba połączyć z potwierdzoną testem liveness tożsamością na wejściu, z sygnałami integralności rozmowy, z dowodem, że oceniany to zatrudniony, oraz z logistyczną dyscypliną „wysyłka tylko na adres z dokumentu”. Obrona wielowarstwowa, a nie pojedyncza bramka.

Nie pozwól, by drzwi frontowe stały się powierzchnią ataku

Schemat z północnokoreańskimi informatykami to jak dotąd najwyraźniejszy dowód na to, że rekrutacja jest granicą bezpieczeństwa. Przeciwnik nie wykorzystuje żadnej luki z bazy CVE; przechodzi Twoją rozmowę, podpisuje Twoją ofertę i loguje się zdalnie z farmy laptopów w czyjejś wolnej sypialni. Lekarstwem nie jest dostawca weryfikacji przeszłości dokręcony już po ofercie. Są nim odporne na oszustwa kontrole wbudowane w proces rekrutacji od pierwszej aplikacji: zweryfikowana tożsamość na wejściu, sygnały integralności rozmowy wyłapujące podstawione osoby i deepfake’i, ślad audytowy mówiący dokładnie, kto był oceniany, oraz ustrukturyzowana obsługa, gdy coś zaczyna budzić podejrzenia.

Każda z tych kontroli to decyzja, którą podejmujesz, zanim wyjedzie laptop. Jeśli budujesz zdalny zespół inżynierski, traktuj swój lejek jak powierzchnię ataku, którą faktycznie jest. Kiedy będziesz gotów uczynić te kontrole domyślnymi, możesz rozpocząć darmowy okres próbny i jeszcze tego samego dnia mieć działający, zweryfikowany i gotowy do audytu proces rekrutacji.