Lập trình viên senior vượt qua 4 vòng phỏng vấn video để được tuyển dụng, nhưng chỉ 25 phút sau khi nhận laptop công ty đã cài malware

Bộ Tư pháp Mỹ ngày 15/4 đã tuyên án tù lần lượt 108 tháng và 92 tháng đối với 2 công dân Mỹ đã hỗ trợ nhân lực IT Triều Tiên xâm nhập các công ty Mỹ

Thủ đoạn cốt lõi là tập trung hàng chục laptop công ty tại các căn nhà ở Mỹ, rồi dùng KVM switch để nhân lực IT Triều Tiên ở Đan Đông và Thẩm Dương, Trung Quốc làm việc từ xa

Bề ngoài, mọi thứ đều trông như IP Mỹ, tài khoản ngân hàng Mỹ, laptop Mỹ và danh tính người Mỹ, nhưng người thực sự làm việc lại là nhân lực IT Triều Tiên

Theo công bố của Bộ Tư pháp, đã có hơn 80 người Mỹ bị đánh cắp danh tính, hơn 100 công ty Mỹ bị ảnh hưởng, và khoảng 5 triệu USD được chuyển về Triều Tiên

Trong một số vụ việc, đồng phạm ở nước ngoài được cho là đã truy cập cả dữ liệu chịu kiểm soát ITAR của một công ty AI quốc phòng tại California, khiến đây không còn chỉ là lừa đảo tuyển dụng mà đã mở rộng thành vấn đề rò rỉ công nghệ quốc phòng

Ngành an ninh mạng đánh giá vấn đề này còn rộng lớn hơn nhiều

CTO của Mandiant tại RSAC 2025 cho biết gần như mọi CISO đều thừa nhận từng tuyển ít nhất một, thậm chí vài chục nhân lực IT Triều Tiên

Google cũng cho biết đã phát hiện các ứng viên là nhân lực IT Triều Tiên trong quy trình tuyển dụng của mình, và một số startup tiền mã hóa còn khẳng định số ứng viên kỹ sư Triều Tiên giả làm người Mỹ áp đảo

Công ty đào tạo nhận thức bảo mật KnowBe4 cũng đã công khai một trường hợp bị hại

Dù đã thực hiện background check, 4 vòng phỏng vấn video và cả xác minh ảnh, ứng viên vẫn vượt qua; chỉ 25 phút sau khi máy trạm Mac do công ty gửi tới được giao đến, malware đã được thực thi

Gần đây, thủ đoạn này còn tiến hóa thành việc sau khi bị sa thải sẽ bắt cóc mã nguồn và dữ liệu nội bộ làm con tin rồi đòi Bitcoin

Đây không còn là mô hình chỉ rút tiền lương, mà đã biến thành một cuộc tấn công phức hợp có thể liên kết với mối đe dọa nội gián, ransomware và các tổ chức tin tặc do nhà nước hậu thuẫn

Thay đổi cốt lõi là Triều Tiên không chỉ kiếm tiền bằng hack hay đánh cắp tiền mã hóa, mà còn tạo doanh thu bằng cách đi vào hệ thống trả lương chính thức của các công ty Mỹ với tư cách “nhân viên”

Nếu việc thực thi lệnh trừng phạt Triều Tiên trước đây chủ yếu tập trung vào các tổ chức tài chính, công ty vận tải biển và truy vết công ty bình phong, thì vụ việc này cho thấy HR, tuyển dụng và chính hạ tầng làm việc từ xa cũng có thể trở thành con đường né tránh trừng phạt

Bản chất của vụ việc này không chỉ là vấn đề của đội ngũ bảo mật, mà là toàn bộ thị trường tuyển dụng đã trở thành bề mặt tấn công

Một ứng viên đã vượt qua mọi bước từ phỏng vấn, xác minh danh tính, giao thiết bị đến truy cập mạng nội bộ thực chất có thể là một lập trình viên không hề ở Mỹ, khiến đây gần như là một kiểu tấn công chuỗi cung ứng mới trong thời đại tuyển dụng từ xa