Görüntülü mülakatta 4 turu geçip işe giren kıdemli geliştirici, şirket dizüstünü alır almaz 25 dakika içinde kötü amaçlı yazılım kurdu

ABD Adalet Bakanlığı, 15 Nisan’da Kuzey Koreli BT çalışanlarının ABD şirketlerine sızmasına yardım eden iki ABD vatandaşına sırasıyla 108 ay ve 92 ay hapis cezası verdi.

Temel yöntem, ABD içindeki evlerde onlarca şirket dizüstünü toplamak ve Kuzey Koreli BT çalışanlarının Çin’in Dandong ve Shenyang kentlerinden KVM switch üzerinden uzaktan çalışmasını sağlamaktı.

Dışarıdan bakıldığında ABD IP’si, ABD banka hesabı, ABD dizüstü ve ABD’li kimliği görülüyordu, ancak asıl işi yapanlar Kuzey Koreli BT çalışanlarıydı.

Adalet Bakanlığı açıklamasına göre 80’den fazla ABD vatandaşının kimliği çalındı, 100’den fazla ABD şirketi zarar gördü ve yaklaşık 5 milyon dolar Kuzey Kore’ye aktarıldı.

Bazı vakalarda Kaliforniya’daki bir yapay zeka savunma şirketinin ITAR kontrollü verilerine kadar yurtdışındaki işbirlikçilerin eriştiği bildirildi; bu da olayın basit bir işe alım dolandırıcılığı olmaktan çıkıp savunma teknolojisi sızıntısı sorununa dönüşmesine yol açtı.

Güvenlik sektörü, bu sorunun çok daha yaygın olduğunu düşünüyor.

Mandiant CTO’su, RSAC 2025’te neredeyse tüm CISO’ların en az bir, bazen onlarca Kuzey Koreli BT çalışanını işe almış olduklarını kabul ettiğini söyledi.

Google da kendi işe alım hattında Kuzey Koreli BT çalışanı adayları tespit ettiğini açıkladı; bazı kripto para startup’ları ise Amerikalı gibi davranan Kuzey Koreli mühendis adaylarının ezici çoğunlukta olduğunu öne sürüyor.

Güvenlik farkındalığı eğitimi şirketi KnowBe4 de bir mağduriyet örneği paylaştı.

Geçmiş kontrolü, dört görüntülü mülakat ve fotoğraf doğrulamasından geçmesine rağmen aday süreci atlattı; şirketin gönderdiği Mac workstation ulaştıktan yalnızca 25 dakika sonra kötü amaçlı yazılım çalıştırıldı.

Son dönemde yöntem, işten çıkarılmanın ardından kaynak kodu ve iç verileri rehin alıp Bitcoin talep etmeye kadar evrildi.

Bu artık yalnızca maaş çekip gitme düzeni değil; içeriden tehdit, fidye yazılımı ve devlet destekli hack gruplarıyla bağlantı kurabilen birleşik bir saldırı modeline dönüştü.

Temel değişim, Kuzey Kore’nin artık sadece hackleme veya kripto para hırsızlığıyla para kazanması değil, ABD şirketlerinin resmi bordro sistemine bir “çalışan” olarak girip gelir üretmesi.

Daha önce Kuzey Kore yaptırımlarının uygulanması finans kurumları, denizcilik şirketleri ve paravan şirketlerin takibine odaklanıyorsa, bu olay İK, işe alım ve uzaktan çalışma altyapısının da yaptırımları aşma rotasına dönüşebileceğini gösteriyor.

Bu olayın özü, bunun yalnızca güvenlik ekibinin sorunu olmaması; tüm işe alım pazarının bir saldırı yüzeyine dönüşmüş olması.

Mülakat, kimlik doğrulama, ekipman gönderimi ve şirket içi ağa erişim süreçlerinin tamamını geçen bir adayın gerçekte ABD’de bulunmayan bir geliştirici olabilmesi, uzaktan işe alım çağının yeni bir tedarik zinciri saldırısına işaret ediyor.