


































最近在寻找 PHP / Go / Web3 远程工作机会时,我经历了一次非常值得记录的事件。
整个过程前半段看起来几乎与正常招聘没有区别:
HR 主动联系
技术栈匹配
Zoom 面试
讨论薪资与团队情况
直到后面安装了一个名为 fyMeet.exe 的会议客户端后,电脑开始出现异常,我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。
这篇文章记录完整经过,希望能给同样在寻找远程工作的开发者一些参考。
5 月 20 日,我在 Telegram 上收到一位 HR 的联系。
对方表示:
你好,你在高并发系统架构和后端开发方向经验很匹配,非常适合担任后端技术负责人或系统架构工程师岗位。
随后介绍了一个名为 OTsea 的 Web3 项目。
项目描述包括:
Web3
数字资产基础设施
多链交易平台
链上金融与数据系统
Go / Java / Solidity 技术栈
完全远程办公
5000~8000 USDT 薪资区间
说实话,这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说,非常具有针对性。
而且沟通过程中,对方能够正常回答:
项目阶段
技术栈
团队规模
工作方式
因此当时并没有产生太多怀疑。
如图 1 所示。

几天后,对方主动安排 Zoom 面试。
使用的是标准 Zoom 链接:
https://us05web.zoom.us/...
面试官名叫 Igor 。
整个面试大约持续了 10 分钟左右。
由于对方中文口音较重,我很多内容听得并不清楚,因此面试结束后我主动提出:
是否可以安排英文面试,或者通过文字沟通技术问题。
对方表示:
Igor 对此次交流很满意,一个小时后会再次联系我。
直到这里,我依然认为这是一次正常的招聘流程。
毕竟:
使用 Zoom
有真实面试官
有技术交流
有薪资讨论
都比较符合远程团队招聘流程。
如图 2 所示。

大约一个小时后,对方再次联系我:
我们能在 30 分钟后再进行一次电话吗?我觉得您可能很适合我们。
随后,对方没有继续使用 Zoom 。
而是发来了一个我从未听说过的平台:
https://fymeet.app
并附带邀请链接:
https://fymeet.app/invite?code=xxxxxx
消息内容如下:
您可以连接到我们的 Work Hub ,我们在等您。
此时我虽然有些疑惑,但考虑到 Web3 圈经常使用各种小众协作工具,因此还是点击进入了。
进入网页后,对方表示:
我们听不到您的声音,请打开麦克风。
随后又询问:
VPN 开了吗?
当时我使用的是网页版。
但始终无法正常进行语音沟通。
于是我尝试下载客户端。
结果发现:
官网客户端下载失败。
随后我询问:
你是用的客户端么?我现在下载不了。
对方很快回复:
请试试这个。
然后直接通过 Telegram 发来了一个压缩包:
fyMeet.zip
大小约 29MB 。
解压后得到:
fyMeet.exe
现在回头看,这一步其实已经是非常明显的危险信号。
因为正规的远程招聘流程中,很少会出现:
官网下载失败
Telegram 直接发送客户端
要求立即安装并进入会议
这种情况。
如图 3 所示。

运行 fyMeet.exe 后。
我发现整个安装过程非常奇怪。
主要表现为:
多次弹出 CMD 黑框
没有正常安装向导
没有桌面图标
没有开始菜单项
看起来像安装失败
当时我的第一反应是:
可能只是一个比较小众、做得不成熟的会议软件。
因此并没有立刻意识到问题。
直到第二天。
我发现电脑 CPU 占用异常。
任务管理器中出现多个可疑进程:
sysupdatewin.exe
随后又变成:
sysupdwin.exe
CPU 占用一度超过 90%。
结束这些进程后:
CPU 占用立即恢复正常。
如图 4 所示。

继续查看后发现:
对应文件位于:
C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\
注意这里有一个细节:
目录名居然写成:
SysUpdateProccess
而不是:
SysUpdateProcess
连 Process 的拼写都错误。
这进一步加深了我的怀疑。
之后我又发现:
存在开机启动项
进程会自动启动
Windows Defender 普通扫描没有发现异常
虽然我尝试进行了 Defender 离线扫描,但仍然没有发现明确结果。
如图 5 所示。

如果把整个事件串起来看,其实已经存在不少风险信号。
fymeet.app 在开发者圈基本没有知名度。
正常商业软件极少出现这种情况。
这是最大的风险点之一。
包括:
CMD 黑框
无安装界面
无桌面图标
出现:
sysupdatewin.exe
sysupdwin.exe
等可疑进程。
结束进程后立即恢复正常。
第二天发现问题后。
我向对方发送了一条消息:
这个文件带木马了,你清楚么?
结果:
已读。
未回复。
而且我还注意到,对方的 Telegram 昵称从此前的名称变成了另外一个名称。
当然,仅凭这一点无法证明什么。
但整个事件放在一起看,就显得非常耐人寻味。
考虑到:
已经运行过未知 EXE
出现持久化进程
Defender 未能明确识别
我本身是开发者,电脑中存在大量开发环境与账号信息
最终我决定:
直接重装系统。
同时准备将主要开发环境迁移到 Ubuntu 。
虽然重装成本不低,但相比持续担心系统是否被植入后门,我认为这是更稳妥的选择。
真正的攻击者也会研究技术栈和岗位需求。
本次事件前半段几乎完全符合正常招聘流程。
尤其是:
xxx.zip
中的:
xxx.exe
这是一个高薪、跨国、远程协作非常普遍的行业。
同时也是网络攻击和社工攻击高发区域。
因为开发者电脑中往往存在:
GitHub
SSH Key
VPS 密钥
API Token
浏览器登录态
Web3 钱包插件
因此比普通用户更容易成为攻击目标。
直到现在,我依然无法百分之百确定:
fyMeet 是否本身就是恶意软件;
OTsea 是否真实存在;
还是某个环节被利用进行了木马投递。
但可以确定的是:
在安装 fyMeet.exe 后,我的电脑确实出现了异常进程与异常资源占用。
因此我选择将整个过程公开记录下来。
如果你也正在寻找远程工作,尤其是 Web3 相关岗位,希望这篇经历能给你提供一个参考。
有些风险,并不是来自那些“一眼假”的诈骗。
而恰恰来自那些看起来非常真实、非常专业的招聘流程。
2 yuang 6 天前大概率是偷钱包私钥的,如果有的话赶紧转移一下资金比较妥当 |
3 shuijingwanwqyy 6 天前TG 招聘这件事本身我觉得挺正常的。 尤其是 Web3 行业,很多团队甚至没有传统意义上的 HR 系统,Discord 、Telegram 基本就是主要沟通渠道。 我以前接触过的一些海外远程岗位,也都是通过 Telegram 或 Discord 联系的。 这次让我警觉的不是 Telegram ,而是后面的行为: 先是正常 Zoom 面试,然后突然切换到一个非常陌生的会议平台;客户端下载异常;最后直接通过 Telegram 发 exe 安装包。 如果文章能给大家提供一点参考的话,我觉得真正值得关注的是这些风险信号,而不是 Telegram 这个工具本身。 |
4 shuijingwanwqyy 6 天前@yuang 发现异常后我第一时间检查了钱包和重要账号,目前暂时没发现资产异常。服务器密码、重要账户密码也已经全部更换,准备直接重装系统了。 现在回头看,最危险的其实不是 fyMeet ,而是自己看到前面 Zoom 面试、技术交流都比较正常,警惕性下降了。以后 Telegram 发来的 exe 应该是一律不碰了。 |
6 mikawang 5 天前这种看见过很多次了,别安装程序,别运行代码 |
9 RedisMasterNode 5 天前 via iPhone奈何不了用 Linux 的😅🤣不喜欢 windows 工作因此没有这样的顾虑哈哈 |
11 ugu 5 天前大概率被植入了挖矿程序,有些虚拟货币是基于 CPU 进行 PoW 挖矿,例如门罗币 |
14 810244966 4 天前这成本有点高了,真人来给面试一场,才有可能感染一台机器,不知道收益如何 |
17 shuijingwanwqyy 4 天前@ywlfffghff 确实低级,但恰恰因为低级才有效——面试时电脑卡了,大多数人第一反应是“会议软件问题”或者自己网络/配置不行,不会立刻想到是中马。等反应过来,钱包已经空了。攻击者赌的就是这个“不警觉”的窗口期。 |
18 shuijingwanwqyy 4 天前@shenyuzhi 理论上确实,但对方面试时会要求共享屏幕检查环境,开虚拟机反而容易被怀疑。而且很多求职者日常工作就是裸机,没意识到需要隔离。事后复盘当然觉得虚拟机好,但当时对方催得紧、话术一压,脑子一热就点了。 |
19 shuijingwanwqyy 4 天前@ugu 有道理。当时 CPU 占用确实一直 100%,风扇狂转。如果只是盗钱包没必要这么耗性能,可能顺手还植入了个门罗币矿工。 |
此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。