CrowdStrike这次给出的数字很刺眼:2025年4月至2026年5月,在美国科技行业国家背景“hands-on-keyboard”入侵活动里,朝鲜相关黑客组织Famous Chollima占47%。
但这个数字不能读歪。它不是“美国科技行业一半网络攻击都来自朝鲜”,而是一个更窄的口径:科技行业、国家背景、人工直接操作系统的入侵活动。
我更在意的是另一件事:这些攻击者不只是写恶意软件破门。他们开始扮演候选人、远程IT员工、开发者,甚至招聘者。企业以为自己在招人,对方想要的是长期访问权限。
47%到底说明了什么
CrowdStrike把“hands-on-keyboard”单独统计,是因为这类入侵更像真人潜伏。
攻击者拿到凭证后,可能使用合法工具登录系统、移动到别的环境、维持访问,再绕开检测。它不像一封钓鱼邮件或一个恶意文件那样容易被拦在门口。
这也是47%真正危险的地方。它说明在CrowdStrike观察到的这类样本里,Famous Chollima已经不是边缘威胁,而是美国科技行业国家背景人工入侵中的高频玩家。
| 关键信息 | 报告口径 | 容易误读 | 对企业的含义 |
|---|---|---|---|
| 时间范围 | 2025年4月至2026年5月 | 长期固定比例 | 只能代表这段时间内的观察结果 |
| 47% | 美国科技行业国家背景“hands-on-keyboard”入侵活动 | 全部网络攻击的一半 | 重点在国家背景和人工操作 |
| 组织名称 | CrowdStrike称为Famous Chollima | 可直接等同其他厂商标签 | 不宜把不同命名体系强行合并 |
| 进入路径 | 远程IT、开发者身份、招聘骗局 | 所有远程员工都有风险 | 风险在身份核验、权限发放和持续审计 |
传统攻击常见路径是钓鱼、漏洞、恶意软件、初始访问经纪人。Famous Chollima这一路径更麻烦:人先合法进门,再拿权限做事。
这就把问题从“系统有没有洞”,推到了“公司怎么确认这个人真是这个人”。
招聘流程正在变成安全入口
CrowdStrike称,Famous Chollima通过远程IT岗位、开发者身份和招聘骗局,进入美国、欧洲、亚洲公司。
操作链条并不复杂,但很贴近远程工作的日常。攻击者包装简历和开发者身份,参加远程面试,使用AI实时深伪画面,再配合被盗护照或驾照等身份材料完成验证。
一旦入职,风险就不再停留在HR系统里。代码库、内部文档、云环境、客户数据、加密货币相关系统,都可能进入它的可触达范围。
这对安全负责人意味着一件具体事:招聘和入职不再只是HR流程,而是访问控制的第一环。
这对招聘负责人也不轻松。验证变严,会拉长招聘周期,尤其影响跨境远程岗位和外包开发。验证太松,又可能把长期账号、设备和代码访问权交给伪装者。
这里要有边界感。远程工作本身不是漏洞,海外开发者也不该被默认怀疑。真正被利用的,是弱身份验证、过早开高权限、入职后缺少行为审计。
谁最该调整,接下来该看什么
CrowdStrike提到,Famous Chollima的目标包括获取薪资、窃取敏感信息和知识产权,以及盗取加密货币。这些活动被用于帮助朝鲜政权规避制裁和筹资。
所以它不是单纯的“假员工骗工资”。薪资是一条线,代码和敏感信息是一条线,加密货币资产又是一条线。三条线合起来,才是科技公司要面对的真实风险。
最该立刻调整的,是两类人。
| 角色 | 现在该做的动作 | 现实成本 |
|---|---|---|
| 安全负责人 | 把入职账号、代码库、云控制台、加密钱包相关系统纳入持续行为监测 | 需要和HR、工程团队重新划权限边界 |
| 招聘负责人 | 对远程候选人做视频活体、证件、工作经历和设备领取流程的交叉核验 | 招聘速度会变慢,候选人体验会变重 |
更具体一点,企业可以先看三件事。
一是视频面试和证件验证是不是分离太远。只看证件照片,或只看一次视频,都不够。
二是入职权限是不是一步到位。远程开发者刚入职就能访问大量代码库、生产环境或敏感文档,这是高风险配置。
三是入职后有没有持续监测。账号登录地点、设备指纹、代码拉取行为、云控制台操作,如果没有基线,就很难发现“看起来像员工”的异常。
接下来最该观察的,不是又出现了多少新组织名,而是Famous Chollima这类模式的成功率有没有变化。还要看科技公司是否把招聘、背景调查、设备发放、权限开通放进同一条安全链路里。
目前公开材料还看不清不同地区、不同规模公司的受害差异,也没有足够证据判断哪些公司损失最大。能确定的是,企业过去把“人”当成安全培训对象,现在还要把“人如何被录用、验证、授权”当成安全系统的一部分。
防火墙守的是网络边界。假同事瞄准的,是公司给人的默认信任。