惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

K
Kaspersky official blog
T
Threat Research - Cisco Blogs
N
News and Events Feed by Topic
Hacker News: Ask HN
Hacker News: Ask HN
Project Zero
Project Zero
Application and Cybersecurity Blog
Application and Cybersecurity Blog
博客园 - 叶小钗
Security Latest
Security Latest
Spread Privacy
Spread Privacy
aimingoo的专栏
aimingoo的专栏
N
News and Events Feed by Topic
Webroot Blog
Webroot Blog
U
Unit 42
Cyberwarzone
Cyberwarzone
小众软件
小众软件
Scott Helme
Scott Helme
Engineering at Meta
Engineering at Meta
Microsoft Security Blog
Microsoft Security Blog
T
The Blog of Author Tim Ferriss
A
About on SuperTechFans
爱范儿
爱范儿
S
Schneier on Security
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Schneier on Security
Schneier on Security
Latest news
Latest news
GbyAI
GbyAI
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Simon Willison's Weblog
Simon Willison's Weblog
The Register - Security
The Register - Security
WordPress大学
WordPress大学
博客园_首页
Blog — PlanetScale
Blog — PlanetScale
PCI Perspectives
PCI Perspectives
Jina AI
Jina AI
AI
AI
NISL@THU
NISL@THU
I
Intezer
G
GRAHAM CLULEY
B
Blog
S
Secure Thoughts
IT之家
IT之家
宝玉的分享
宝玉的分享
Recent Announcements
Recent Announcements
Y
Y Combinator Blog
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
酷 壳 – CoolShell
酷 壳 – CoolShell
有赞技术团队
有赞技术团队
V2EX - 技术
V2EX - 技术
Recorded Future
Recorded Future
Hacker News - Newest:
Hacker News - Newest: "LLM"

V2EX

我用 AI 写代码,但终端管理反而成了累赘——于是我做了 codux - V2EX [调研] 各位在公司都用什么 ide 和 agent 写代码? 老运维 share 一个运维平台 新电脑 brew install node 之后,一个小设置可以提升对供应链投毒的防御 - V2EX GLM-Coding 调用持续报错: z.ai 的 Lite 套餐几乎无法使用,官方 Pro/Max 是否稳定? - V2EX 上海漕河泾内推,本组有 2 个 hc,一个后端,一个前端,预算都是 20k 左右,不打卡,氛围好 如果 V2EX 上有一组不永久保存聊天记录(比如只保存 7 天或者 24 小时)的聊天室,那么会开启哪些有用或者有趣的可能? - V2EX gemini cli 貌似挂了,一直返回 403 - V2EX 第一次在自媒体上赚到钱 收集了最近在使用的低价 GPT, Gemini,邮箱等 AI 会员的小店合集 讨论个大实话:现在企业还在说 AI 编程提效 20%, 30%的,真的太落后,没用懂 AI。因为包括很多前沿公司,已经狂奔到提效 200%-500%的情况 [招聘][远程][币安] 前端/后端/QA/iOS/Android 至少 3 年以上经验 目前有大量 HC 欢迎投递 Chatgpt Pro 用量用不完的可以开这些设置 面试的时候好像遇到钓鱼了,给各位避个坑 cursor 年续费 22 号到期, 自动续费是否还是老的计次套餐呢 - V2EX 被两件破事毁掉的一下午,琐碎的内耗消磨人的精力 使用 Planet 存储 Codex 的会话或者重要信息 - V2EX 如果业务部门领导不要你开发功能,而是要求你教会它用 claude code 开发功能,你会怎么做? 分享一个 MacOS 接绿联 CM818 USB 转 DP 转接器使用感受 - V2EX 我的 HR 朋友 10 年老 Java ,非全大专,大家帮忙看看简历 开源了一个 AI 口语练习工具,音素级发音评分,完全免费可自部署 V2EX 上有哪些你觉得很有趣、印象深刻的妹纸? 字节为啥不出个国内版 Vercel? 有在大马的朋友吗? 问个运营商问题 你们在有领导的公司大群发过的最大胆的消息是什么 公司裁员,目前没有工作。想试试摆摊,做一个移动鲜啤打酒车 我的硬盘 Memblaze Pblaze 5 Linux 下不识别,给 Linux 内核提交了补丁, AI 说有望被合并 - V2EX 只有我一个人觉得 codex 不好用? 做了个 AI + 真人专家监督的广告投放平台 Auxora, 7 个品牌跑出 6x ROAS 如何走出至亲的离世 Claude Web 端貌似 claude-opus-4-7 偷偷上了? 现在 Apple 开发者帳號應該是用哪个地区会更好? - V2EX 用回测筛选因子的一点经验分享 给女儿 vibe 了一个故事类的 app,做完发现,这类应用似乎上线难度极大? - V2EX 手机格式化 bitget 钱包没了,里面开通的银行卡还有机会拿到吗 - V2EX [送码] TransVoice - 我的第一款 App 上架啦!实时转写+翻译+字幕,会议听课好助手! PictureHub 高清摄影作品的画廊 Planet 的第一个使用 macOS 26 SDK 构建的 Insider 版本 20260416-1 - V2EX 成都二手房是不是在涨价,有点坐不住了 - V2EX claude 生态(skill mcp plugin)等 Studio Display XDR VESA 适配器脱落 有在用印度区 applestore 的大哥嘛,请教一下礼品卡去哪里买呢 - V2EX 我好像知道京东家政爆火的原因了 - V2EX 薅了公司的 a 家 api key,用机场 ip 做代理容易被封吗 如何在初期就识别 HR 在刷 KPI,没打算招你? [分享]精心打造一个 AI 编程知识库(算法/设计模式/提示词/Skills),助力程序员转型 港版 iPhone 在国内支持联通 5GA 吗?在广东用 想办港卡 AI 对 it 行业影响太大了 我做了个把照片变成 iOS 小组件贴纸的 App ChatGPT Pro 5x 套餐 量真的很足! I have found a method to directly generate advertising video materials using scripts 在小城市开个店,给人写软件,有前途吗 chrome 最新的 147 版直接卡爆炸了 - V2EX 为什么厂家不在 skill/mcp 这类的工具中塞广告呢?这样不是可以大赚嘛? minimax 真是脸都不要了,工作日下午 14:00 定时开启 529,脸都不要了。训练模型居然占用用户使用时间 外资非核心部门 vs 另一家外资的核心部门,该跳吗? iTad 标签 扩展 加小动作 ? - V2EX 去年 H200 能买,不让买是代替快出来了? - V2EX AI 赛事通 - 2026 年 4 月中国区新增 AI 竞赛和黑客松汇总 - V2EX V2EX › 登录 现在安卓开发都在做啥 - V2EX 浏览器插件 沉浸式翻译 是不支持自定义模型了吗? - V2EX Codex 里的 GPT5.4 也能降智?上午让它改两个问题,改了一个小时了, plus 额度用了一半了还是没改好,和前几天用的体感完全不一样。要它改的问题也不复杂。服了。 目前有使用 claude code 的收到人脸认证的吗 - V2EX 分享一个自己做的 Nginx 管理工具,实时请求动态预览!(无奈市面上实在找不到好用的,自己撸了个) - V2EX claude code 崩了么? 今天在反重力上用 claude 一点都不丝滑,有同样的感受吗? opencode 消息周知插件 今天 claude opus 和前两天比,质的飞跃 - V2EX 999 包月价? - V2EX 一个版本, 50 项更新:我们几乎重做了整个播放页 本地大模型多大显存够用? GOGDNS 一款简易的私人 DNS 服务器 - V2EX API key (GLM) 怎么使用 claude code desktop ? Claude 这样订阅有问题吗 - V2EX 帮我爸找回了一篇赛博兰亭集序 求推荐稳定、高性价比使用 Claude Opus 4.6 的渠道/平台 搞个云端 claude code 防止 封号 - V2EX 用 Claude 要实名了,内地用户怎么办? OpenAI Plus 和 Team 都缩水了吗 海外 Android 手机有什么好用的国内第三方应用市场推荐吗 - V2EX 把电脑伪装成电视,用 DLNA 投屏拿到视频号直播流地址 - V2EX claude 认证莫慌 北京互联网法院有什么攻略么?起诉北京智谱华章科技股份有限公司退款可行么? - V2EX Claude 开始引入身份验证 求 vscode 做笔记软件的插件推荐 - V2EX 讯飞星辰的 Coding Plan 如何? Anthropic 宣布在 Claude 平台推行身份验证机制 科普一下低价 gpt 是怎么来的 有没有长期关注 Claude 的朋友,我建了一个 Channel 自动抓取 Claude Team 的推文 啃了那篇 54 页的 Agent Harness 综述, 给大伙讲个省流版 现在那家的 coding plan 还能买到 是不是最近会有什么更聪明的大模型要发布了呀? 用多了 AI 后,有没有觉得 AI 生成的文章有很强的既视感? 如何 实践 Harness 工程? 今日份 GPT 5.4 笑话 如何建一个自己的号池,让 cursor 真正实现 token 自由 写了三个月 Agent Harness,我终于敢让 Claude Code 全自动写代码了
一次真实的 Web3 招聘木马经历:从 Zoom 面试到 fyMeet.exe,最终发现电脑被植入异常进程
shuijingwanwqyy · 2026-06-01 · via V2EX

最近在寻找 PHP / Go / Web3 远程工作机会时,我经历了一次非常值得记录的事件。

整个过程前半段看起来几乎与正常招聘没有区别:

  • HR 主动联系

  • 技术栈匹配

  • Zoom 面试

  • 讨论薪资与团队情况

直到后面安装了一个名为 fyMeet.exe 的会议客户端后,电脑开始出现异常,我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。

这篇文章记录完整经过,希望能给同样在寻找远程工作的开发者一些参考。


一、Telegram 上收到 Web3 招聘邀请

5 月 20 日,我在 Telegram 上收到一位 HR 的联系。

对方表示:

你好,你在高并发系统架构和后端开发方向经验很匹配,非常适合担任后端技术负责人或系统架构工程师岗位。

随后介绍了一个名为 OTsea 的 Web3 项目。

项目描述包括:

  • Web3

  • 数字资产基础设施

  • 多链交易平台

  • 链上金融与数据系统

  • Go / Java / Solidity 技术栈

  • 完全远程办公

  • 5000~8000 USDT 薪资区间

说实话,这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说,非常具有针对性。

而且沟通过程中,对方能够正常回答:

  • 项目阶段

  • 技术栈

  • 团队规模

  • 工作方式

因此当时并没有产生太多怀疑。

如图 1 所示。

1.png


几天后,对方主动安排 Zoom 面试。

使用的是标准 Zoom 链接:

https://us05web.zoom.us/...

面试官名叫 Igor 。

整个面试大约持续了 10 分钟左右。

由于对方中文口音较重,我很多内容听得并不清楚,因此面试结束后我主动提出:

是否可以安排英文面试,或者通过文字沟通技术问题。

对方表示:

Igor 对此次交流很满意,一个小时后会再次联系我。

直到这里,我依然认为这是一次正常的招聘流程。

毕竟:

  • 使用 Zoom

  • 有真实面试官

  • 有技术交流

  • 有薪资讨论

都比较符合远程团队招聘流程。

如图 2 所示。

2.png


三、第二次沟通开始出现异常

大约一个小时后,对方再次联系我:

我们能在 30 分钟后再进行一次电话吗?我觉得您可能很适合我们。

随后,对方没有继续使用 Zoom 。

而是发来了一个我从未听说过的平台:

https://fymeet.app

并附带邀请链接:

https://fymeet.app/invite?code=xxxxxx

消息内容如下:

您可以连接到我们的 Work Hub ,我们在等您。

此时我虽然有些疑惑,但考虑到 Web3 圈经常使用各种小众协作工具,因此还是点击进入了。


四、最危险的一步:安装 fyMeet 客户端

进入网页后,对方表示:

我们听不到您的声音,请打开麦克风。

随后又询问:

VPN 开了吗?

当时我使用的是网页版。

但始终无法正常进行语音沟通。

于是我尝试下载客户端。

结果发现:

官网客户端下载失败。

随后我询问:

你是用的客户端么?我现在下载不了。

对方很快回复:

请试试这个。

然后直接通过 Telegram 发来了一个压缩包:

fyMeet.zip

大小约 29MB 。

解压后得到:

fyMeet.exe

现在回头看,这一步其实已经是非常明显的危险信号。

因为正规的远程招聘流程中,很少会出现:

  • 官网下载失败

  • Telegram 直接发送客户端

  • 要求立即安装并进入会议

这种情况。

如图 3 所示。

3.png


五、安装后开始出现异常

运行 fyMeet.exe 后。

我发现整个安装过程非常奇怪。

主要表现为:

  • 多次弹出 CMD 黑框

  • 没有正常安装向导

  • 没有桌面图标

  • 没有开始菜单项

  • 看起来像安装失败

当时我的第一反应是:

可能只是一个比较小众、做得不成熟的会议软件。

因此并没有立刻意识到问题。

直到第二天。

我发现电脑 CPU 占用异常。

任务管理器中出现多个可疑进程:

sysupdatewin.exe

随后又变成:

sysupdwin.exe

CPU 占用一度超过 90%。

结束这些进程后:

CPU 占用立即恢复正常。

如图 4 所示。

1.png


六、进一步排查

继续查看后发现:

对应文件位于:

C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\

注意这里有一个细节:

目录名居然写成:

SysUpdateProccess

而不是:

SysUpdateProcess

连 Process 的拼写都错误。

这进一步加深了我的怀疑。

之后我又发现:

  • 存在开机启动项

  • 进程会自动启动

  • Windows Defender 普通扫描没有发现异常

虽然我尝试进行了 Defender 离线扫描,但仍然没有发现明确结果。

如图 5 所示。

3.jpg


七、现在回头看,这里面有哪些异常信号?

如果把整个事件串起来看,其实已经存在不少风险信号。

1. 从未听说过的会议平台

fymeet.app 在开发者圈基本没有知名度。


2. 官网客户端无法下载

正常商业软件极少出现这种情况。


3. Telegram 直接发送安装包

这是最大的风险点之一。


4. 安装过程异常

包括:

  • CMD 黑框

  • 无安装界面

  • 无桌面图标


5. 安装后出现异常进程

出现:

sysupdatewin.exe
sysupdwin.exe

等可疑进程。


6. CPU 持续高占用

结束进程后立即恢复正常。


7. 对方后续不再回应

第二天发现问题后。

我向对方发送了一条消息:

这个文件带木马了,你清楚么?

结果:

已读。

未回复。

而且我还注意到,对方的 Telegram 昵称从此前的名称变成了另外一个名称。

当然,仅凭这一点无法证明什么。

但整个事件放在一起看,就显得非常耐人寻味。


八、我最终的处理方式

考虑到:

  • 已经运行过未知 EXE

  • 出现持久化进程

  • Defender 未能明确识别

  • 我本身是开发者,电脑中存在大量开发环境与账号信息

最终我决定:

直接重装系统。

同时准备将主要开发环境迁移到 Ubuntu 。

虽然重装成本不低,但相比持续担心系统是否被植入后门,我认为这是更稳妥的选择。


九、给远程开发者的几点建议

不要因为对方懂技术就放松警惕

真正的攻击者也会研究技术栈和岗位需求。


不要因为前面用了 Zoom 就认为后面一定安全

本次事件前半段几乎完全符合正常招聘流程。


不要运行 Telegram 私发的 EXE

尤其是:

xxx.zip

中的:

xxx.exe

Web3 招聘领域需要额外谨慎

这是一个高薪、跨国、远程协作非常普遍的行业。

同时也是网络攻击和社工攻击高发区域。


开发者本身就是高价值目标

因为开发者电脑中往往存在:

  • GitHub

  • SSH Key

  • VPS 密钥

  • API Token

  • 浏览器登录态

  • Web3 钱包插件

因此比普通用户更容易成为攻击目标。


结语

直到现在,我依然无法百分之百确定:

  • fyMeet 是否本身就是恶意软件;

  • OTsea 是否真实存在;

  • 还是某个环节被利用进行了木马投递。

但可以确定的是:

在安装 fyMeet.exe 后,我的电脑确实出现了异常进程与异常资源占用。

因此我选择将整个过程公开记录下来。

如果你也正在寻找远程工作,尤其是 Web3 相关岗位,希望这篇经历能给你提供一个参考。

有些风险,并不是来自那些“一眼假”的诈骗。

而恰恰来自那些看起来非常真实、非常专业的招聘流程。

  • web3
  • 招聘
  • 木马

    21 条回复    2026-06-03 10:37:57 +08:00

    yuang

    2

    yuang      6 天前

    大概率是偷钱包私钥的,如果有的话赶紧转移一下资金比较妥当

    shuijingwanwqyy

    3

    shuijingwanwqyy      6 天前

    @loveshuyuan

    TG 招聘这件事本身我觉得挺正常的。

    尤其是 Web3 行业,很多团队甚至没有传统意义上的 HR 系统,Discord 、Telegram 基本就是主要沟通渠道。

    我以前接触过的一些海外远程岗位,也都是通过 Telegram 或 Discord 联系的。

    这次让我警觉的不是 Telegram ,而是后面的行为:

    先是正常 Zoom 面试,然后突然切换到一个非常陌生的会议平台;客户端下载异常;最后直接通过 Telegram 发 exe 安装包。

    如果文章能给大家提供一点参考的话,我觉得真正值得关注的是这些风险信号,而不是 Telegram 这个工具本身。

    shuijingwanwqyy

    4

    shuijingwanwqyy      6 天前

    @yuang
    确实有这个担心。

    发现异常后我第一时间检查了钱包和重要账号,目前暂时没发现资产异常。服务器密码、重要账户密码也已经全部更换,准备直接重装系统了。

    现在回头看,最危险的其实不是 fyMeet ,而是自己看到前面 Zoom 面试、技术交流都比较正常,警惕性下降了。以后 Telegram 发来的 exe 应该是一律不碰了。

    mikawang

    6

    mikawang      5 天前

    这种看见过很多次了,别安装程序,别运行代码

    RedisMasterNode

    9

    RedisMasterNode      5 天前 via iPhone

    奈何不了用 Linux 的😅🤣不喜欢 windows 工作因此没有这样的顾虑哈哈

    ugu

    11

    ugu      5 天前

    大概率被植入了挖矿程序,有些虚拟货币是基于 CPU 进行 PoW 挖矿,例如门罗币

    810244966

    14

    810244966      4 天前

    这成本有点高了,真人来给面试一场,才有可能感染一台机器,不知道收益如何

    shuijingwanwqyy

    17

    shuijingwanwqyy      4 天前

    @ywlfffghff 确实低级,但恰恰因为低级才有效——面试时电脑卡了,大多数人第一反应是“会议软件问题”或者自己网络/配置不行,不会立刻想到是中马。等反应过来,钱包已经空了。攻击者赌的就是这个“不警觉”的窗口期。

    shuijingwanwqyy

    18

    shuijingwanwqyy      4 天前

    @shenyuzhi 理论上确实,但对方面试时会要求共享屏幕检查环境,开虚拟机反而容易被怀疑。而且很多求职者日常工作就是裸机,没意识到需要隔离。事后复盘当然觉得虚拟机好,但当时对方催得紧、话术一压,脑子一热就点了。

    shuijingwanwqyy

    19

    shuijingwanwqyy      4 天前

    @ugu 有道理。当时 CPU 占用确实一直 100%,风扇狂转。如果只是盗钱包没必要这么耗性能,可能顺手还植入了个门罗币矿工。