最近在寻找 PHP / Go / Web3 远程工作机会时,我经历了一次非常值得记录的事件。 整个过程前半段看起来几乎与正常招聘没有区别: HR 主动联系 技术栈匹配 Zoom 面试 讨论薪资与团队情况 直到后面安装了一个名为 fyMeet.exe 的会议客户端后,电脑开始出现异常,我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。 这篇文章记录完整经过,希望能给同样在寻找远程工作的开发者一些参考。 一、Telegram 上收到 Web3 招聘邀请 5 月 20 日,我在 Telegram 上收到一位 HR 的联系。 对方表示: 你好,你在高并发系统架构和后端开发方向经验很匹配,非常适合担任后端技术负责人或系统架构工程师岗位。 随后介绍了一个名为 OTsea 的 Web3 项目。 项目描述包括: Web3 数字资产基础设施 多链交易平台 链上金融与数据系统 Go / Java / Solidity 技术栈 完全远程办公 5000~8000 USDT 薪资区间 说实话,这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说,非常具有针对性。 而且沟通过程中,对方能够正常回答: 项目阶段 技术栈 团队规模 工作方式 因此当时并没有产生太多怀疑。 如图 1 所示。 二、安排 Zoom 面试 几天后,对方主动安排 Zoom 面试。 使用的是标准 Zoom 链接: https://us05web.zoom.us/... 面试官名叫 Igor 。 整个面试大约持续了 10 分钟左右。 由于对方中文口音较重,我很多内容听得并不清楚,因此面试结束后我主动提出: 是否可以安排英文面试,或者通过文字沟通技术问题。 对方表示: Igor 对此次交流很满意,一个小时后会再次联系我。 直到这里,我依然认为这是一次正常的招聘流程。 毕竟: 使用 Zoom 有真实面试官 有技术交流 有薪资讨论 都比较符合远程团队招聘流程。 如图 2 所示。 三、第二次沟通开始出现异常 大约一个小时后,对方再次联系我: 我们能在 30 分钟后再进行一次电话吗?我觉得您可能很适合我们。 随后,对方没有继续使用 Zoom 。 而是发来了一个我从未听说过的平台: https://fymeet.app 并附带邀请链接: https://fymeet.app/invite?code=xxxxxx 消息内容如下: 您可以连接到我们的 Work Hub ,我们在等您。 此时我虽然有些疑惑,但考虑到 Web3 圈经常使用各种小众协作工具,因此还是点击进入了。 四、最危险的一步:安装 fyMeet 客户端 进入网页后,对方表示: 我们听不到您的声音,请打开麦克风。 随后又询问: VPN 开了吗? 当时我使用的是网页版。 但始终无法正常进行语音沟通。 于是我尝试下载客户端。 结果发现: 官网客户端下载失败。 随后我询问: 你是用的客户端么?我现在下载不了。 对方很快回复: 请试试这个。 然后直接通过 Telegram 发来了一个压缩包: fyMeet.zip 大小约 29MB 。 解压后得到: fyMeet.exe 现在回头看,这一步其实已经是非常明显的危险信号。 因为正规的远程招聘流程中,很少会出现: 官网下载失败 Telegram 直接发送客户端 要求立即安装并进入会议 这种情况。 如图 3 所示。 五、安装后开始出现异常 运行 fyMeet.exe 后。 我发现整个安装过程非常奇怪。 主要表现为: 多次弹出 CMD 黑框 没有正常安装向导 没有桌面图标 没有开始菜单项 看起来像安装失败 当时我的第一反应是: 可能只是一个比较小众、做得不成熟的会议软件。 因此并没有立刻意识到问题。 直到第二天。 我发现电脑 CPU 占用异常。 任务管理器中出现多个可疑进程: sysupdatewin.exe 随后又变成: sysupdwin.exe CPU 占用一度超过 90%。 结束这些进程后: CPU 占用立即恢复正常。 如图 4 所示。 六、进一步排查 继续查看后发现: 对应文件位于: C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\ 注意这里有一个细节: 目录名居然写成: SysUpdateProccess 而不是: SysUpdateProcess 连 Process 的拼写都错误。 这进一步加深了我的怀疑。 之后我又发现: 存在开机启动项 进程会自动启动 Windows Defender 普通扫描没有发现异常 虽然我尝试进行了 Defender 离线扫描,但仍然没有发现明确结果。 如图 5 所示。 七、现在回头看,这里面有哪些异常信号? 如果把整个事件串起来看,其实已经存在不少风险信号。 1. 从未听说过的会议平台 fymeet.app 在开发者圈基本没有知名度。 2. 官网客户端无法下载 正常商业软件极少出现这种情况。 3. Telegram 直接发送安装包 这是最大的风险点之一。 4. 安装过程异常 包括: CMD 黑框 无安装界面 无桌面图标 5. 安装后出现异常进程 出现: sysupdatewin.exe sysupdwin.exe 等可疑进程。 6. CPU 持续高占用 结束进程后立即恢复正常。 7. 对方后续不再回应 第二天发现问题后。 我向对方发送了一条消息: 这个文件带木马了,你清楚么? 结果: 已读。 未回复。 而且我还注意到,对方的 Telegram 昵称从此前的名称变成了另外一个名称。 当然,仅凭这一点无法证明什么。 但整个事件放在一起看,就显得非常耐人寻味。 八、我最终的处理方式 考虑到: 已经运行过未知 EXE 出现持久化进程 Defender 未能明确识别 我本身是开发者,电脑中存在大量开发环境与账号信息 最终我决定: 直接重装系统。 同时准备将主要开发环境迁移到 Ubuntu 。 虽然重装成本不低,但相比持续担心系统是否被植入后门,我认为这是更稳妥的选择。 九、给远程开发者的几点建议 不要因为对方懂技术就放松警惕 真正的攻击者也会研究技术栈和岗位需求。 不要因为前面用了 Zoom 就认为后面一定安全 本次事件前半段几乎完全符合正常招聘流程。 不要运行 Telegram 私发的 EXE 尤其是: xxx.zip 中的: xxx.exe Web3 招聘领域需要额外谨慎 这是一个高薪、跨国、远程协作非常普遍的行业。 同时也是网络攻击和社工攻击高发区域。 开发者本身就是高价值目标 因为开发者电脑中往往存在: GitHub SSH Key VPS 密钥 API Token 浏览器登录态 Web3 钱包插件 因此比普通用户更容易成为攻击目标。 结语 直到现在,我依然无法百分之百确定: fyMeet 是否本身就是恶意软件; OTsea 是否真实存在; 还是某个环节被利用进行了木马投递。 但可以确定的是: 在安装 fyMeet.exe 后,我的电脑确实出现了异常进程与异常资源占用。 因此我选择将整个过程公开记录下来。 如果你也正在寻找远程工作,尤其是 Web3 相关岗位,希望这篇经历能给你提供一个参考。 有些风险,并不是来自那些“一眼假”的诈骗。 而恰恰来自那些看起来非常真实、非常专业的招聘流程。
最近在寻找 PHP / Go / Web3 远程工作机会时,我经历了一次非常值得记录的事件。 整个过程前半段看起来几乎与正常招聘没有区别: HR 主动联系 技术栈匹配 Zoom 面试 讨论薪资与团队情况 直到后面安装了一个名为 fyMeet.exe 的会议客户端后,电脑开始出现异常,我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。 这篇文章记录完整经过,希望能给同样在寻找远程工作的开发者一些参考。 一、Telegram 上收到 Web3 招聘邀请 5 月 20 日,我在 Telegram 上收到一位 HR 的联系。 对方表示: 你好,你在高并发系统架构和后端开发方向经验很匹配,非常适合担任后端技术负责人或系统架构工程师岗位。 随后介绍了一个名为 OTsea 的 Web3 项目。 项目描述包括: Web3 数字资产基础设施 多链交易平台 链上金融与数据系统 Go / Java / Solidity 技术栈 完全远程办公 5000~8000 USDT 薪资区间 说实话,这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说,非常具有针对性。 而且沟通过程中,对方能够正常回答: 项目阶段 技术栈 团队规模 工作方式 因此当时并没有产生太多怀疑。 如图 1 所示。 二、安排 Zoom 面试 几天后,对方主动安排 Zoom 面试。 使用的是标准 Zoom 链接: https://us05web.zoom.us/... 面试官名叫 Igor 。 整个面试大约持续了 10 分钟左右。 由于对方中文口音较重,我很多内容听得并不清楚,因此面试结束后我主动提出: 是否可以安排英文面试,或者通过文字沟通技术问题。 对方表示: Igor 对此次交流很满意,一个小时后会再次联系我。 直到这里,我依然认为这是一次正常的招聘流程。 毕竟: 使用 Zoom 有真实面试官 有技术交流 有薪资讨论 都比较符合远程团队招聘流程。 如图 2 所示。 三、第二次沟通开始出现异常 大约一个小时后,对方再次联系我: 我们能在 30 分钟后再进行一次电话吗?我觉得您可能很适合我们。 随后,对方没有继续使用 Zoom 。 而是发来了一个我从未听说过的平台: https://fymeet.app 并附带邀请链接: https://fymeet.app/invite?code=xxxxxx 消息内容如下: 您可以连接到我们的 Work Hub ,我们在等您。 此时我虽然有些疑惑,但考虑到 Web3 圈经常使用各种小众协作工具,因此还是点击进入了。 四、最危险的一步:安装 fyMeet 客户端 进入网页后,对方表示: 我们听不到您的声音,请打开麦克风。 随后又询问: VPN 开了吗? 当时我使用的是网页版。 但始终无法正常进行语音沟通。 于是我尝试下载客户端。 结果发现: 官网客户端下载失败。 随后我询问: 你是用的客户端么?我现在下载不了。 对方很快回复: 请试试这个。 然后直接通过 Telegram 发来了一个压缩包: fyMeet.zip 大小约 29MB 。 解压后得到: fyMeet.exe 现在回头看,这一步其实已经是非常明显的危险信号。 因为正规的远程招聘流程中,很少会出现: 官网下载失败 Telegram 直接发送客户端 要求立即安装并进入会议 这种情况。 如图 3 所示。 五、安装后开始出现异常 运行 fyMeet.exe 后。 我发现整个安装过程非常奇怪。 主要表现为: 多次弹出 CMD 黑框 没有正常安装向导 没有桌面图标 没有开始菜单项 看起来像安装失败 当时我的第一反应是: 可能只是一个比较小众、做得不成熟的会议软件。 因此并没有立刻意识到问题。 直到第二天。 我发现电脑 CPU 占用异常。 任务管理器中出现多个可疑进程: sysupdatewin.exe 随后又变成: sysupdwin.exe CPU 占用一度超过 90%。 结束这些进程后: CPU 占用立即恢复正常。 如图 4 所示。 六、进一步排查 继续查看后发现: 对应文件位于: C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\ 注意这里有一个细节: 目录名居然写成: SysUpdateProccess 而不是: SysUpdateProcess 连 Process 的拼写都错误。 这进一步加深了我的怀疑。 之后我又发现: 存在开机启动项 进程会自动启动 Windows Defender 普通扫描没有发现异常 虽然我尝试进行了 Defender 离线扫描,但仍然没有发现明确结果。 如图 5 所示。 七、现在回头看,这里面有哪些异常信号? 如果把整个事件串起来看,其实已经存在不少风险信号。 1. 从未听说过的会议平台 fymeet.app 在开发者圈基本没有知名度。 2. 官网客户端无法下载 正常商业软件极少出现这种情况。 3. Telegram 直接发送安装包 这是最大的风险点之一。 4. 安装过程异常 包括: CMD 黑框 无安装界面 无桌面图标 5. 安装后出现异常进程 出现: sysupdatewin.exe sysupdwin.exe 等可疑进程。 6. CPU 持续高占用 结束进程后立即恢复正常。 7. 对方后续不再回应 第二天发现问题后。 我向对方发送了一条消息: 这个文件带木马了,你清楚么? 结果: 已读。 未回复。 而且我还注意到,对方的 Telegram 昵称从此前的名称变成了另外一个名称。 当然,仅凭这一点无法证明什么。 但整个事件放在一起看,就显得非常耐人寻味。 八、我最终的处理方式 考虑到: 已经运行过未知 EXE 出现持久化进程 Defender 未能明确识别 我本身是开发者,电脑中存在大量开发环境与账号信息 最终我决定: 直接重装系统。 同时准备将主要开发环境迁移到 Ubuntu 。 虽然重装成本不低,但相比持续担心系统是否被植入后门,我认为这是更稳妥的选择。 九、给远程开发者的几点建议 不要因为对方懂技术就放松警惕 真正的攻击者也会研究技术栈和岗位需求。 不要因为前面用了 Zoom 就认为后面一定安全 本次事件前半段几乎完全符合正常招聘流程。 不要运行 Telegram 私发的 EXE 尤其是: xxx.zip 中的: xxx.exe Web3 招聘领域需要额外谨慎 这是一个高薪、跨国、远程协作非常普遍的行业。 同时也是网络攻击和社工攻击高发区域。 开发者本身就是高价值目标 因为开发者电脑中往往存在: GitHub SSH Key VPS 密钥 API Token 浏览器登录态 Web3 钱包插件 因此比普通用户更容易成为攻击目标。 结语 直到现在,我依然无法百分之百确定: fyMeet 是否本身就是恶意软件; OTsea 是否真实存在; 还是某个环节被利用进行了木马投递。 但可以确定的是: 在安装 fyMeet.exe 后,我的电脑确实出现了异常进程与异常资源占用。 因此我选择将整个过程公开记录下来。 如果你也正在寻找远程工作,尤其是 Web3 相关岗位,希望这篇经历能给你提供一个参考。 有些风险,并不是来自那些“一眼假”的诈骗。 而恰恰来自那些看起来非常真实、非常专业的招聘流程。
最近在寻找 PHP / Go / Web3 远程工作机会时,我经历了一次非常值得记录的事件。 整个过程前半段看起来几乎与正常招聘没有区别: HR 主动联系 技术栈匹配 Zoom 面试 讨论薪资与团队情况 直到后面安装了一个名为 fyMeet.exe 的会议客户端后,电脑开始出现异常,我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。 这篇文章记录完整经过,希望能给同样在寻找远程工作的开发者一些参考。 一、Telegram 上收到 Web3 招聘邀请 5 月 20 日,我在 Telegram 上收到一位 HR 的联系。 对方表示: 你好,你在高并发系统架构和后端开发方向经验很匹配,非常适合担任后端技术负责人或系统架构工程师岗位。 随后介绍了一个名为 OTsea 的 Web3 项目。 项目描述包括: Web3 数字资产基础设施 多链交易平台 链上金融与数据系统 Go / Java / Solidity 技术栈 完全远程办公 5000~8000 USDT 薪资区间 说实话,这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说,非常具有针对性。 而且沟通过程中,对方能够正常回答: 项目阶段 技术栈 团队规模 工作方式 因此当时并没有产生太多怀疑。 如图 1 所示。 二、安排 Zoom 面试 几天后,对方主动安排 Zoom 面试。 使用的是标准 Zoom 链接: https://us05web.zoom.us/... 面试官名叫 Igor 。 整个面试大约持续了 10 分钟左右。 由于对方中文口音较重,我很多内容听得并不清楚,因此面试结束后我主动提出: 是否可以安排英文面试,或者通过文字沟通技术问题。 对方表示: Igor 对此次交流很满意,一个小时后会再次联系我。 直到这里,我依然认为这是一次正常的招聘流程。 毕竟: 使用 Zoom 有真实面试官 有技术交流 有薪资讨论 都比较符合远程团队招聘流程。 如图 2 所示。 三、第二次沟通开始出现异常 大约一个小时后,对方再次联系我: 我们能在 30 分钟后再进行一次电话吗?我觉得您可能很适合我们。 随后,对方没有继续使用 Zoom 。 而是发来了一个我从未听说过的平台: https://fymeet.app 并附带邀请链接: https://fymeet.app/invite?code=xxxxxx 消息内容如下: 您可以连接到我们的 Work Hub ,我们在等您。 此时我虽然有些疑惑,但考虑到 Web3 圈经常使用各种小众协作工具,因此还是点击进入了。 四、最危险的一步:安装 fyMeet 客户端 进入网页后,对方表示: 我们听不到您的声音,请打开麦克风。 随后又询问: VPN 开了吗? 当时我使用的是网页版。 但始终无法正常进行语音沟通。 于是我尝试下载客户端。 结果发现: 官网客户端下载失败。 随后我询问: 你是用的客户端么?我现在下载不了。 对方很快回复: 请试试这个。 然后直接通过 Telegram 发来了一个压缩包: fyMeet.zip 大小约 29MB 。 解压后得到: fyMeet.exe 现在回头看,这一步其实已经是非常明显的危险信号。 因为正规的远程招聘流程中,很少会出现: 官网下载失败 Telegram 直接发送客户端 要求立即安装并进入会议 这种情况。 如图 3 所示。 五、安装后开始出现异常 运行 fyMeet.exe 后。 我发现整个安装过程非常奇怪。 主要表现为: 多次弹出 CMD 黑框 没有正常安装向导 没有桌面图标 没有开始菜单项 看起来像安装失败 当时我的第一反应是: 可能只是一个比较小众、做得不成熟的会议软件。 因此并没有立刻意识到问题。 直到第二天。 我发现电脑 CPU 占用异常。 任务管理器中出现多个可疑进程: sysupdatewin.exe 随后又变成: sysupdwin.exe CPU 占用一度超过 90%。 结束这些进程后: CPU 占用立即恢复正常。 如图 4 所示。 六、进一步排查 继续查看后发现: 对应文件位于: C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\ 注意这里有一个细节: 目录名居然写成: SysUpdateProccess 而不是: SysUpdateProcess 连 Process 的拼写都错误。 这进一步加深了我的怀疑。 之后我又发现: 存在开机启动项 进程会自动启动 Windows Defender 普通扫描没有发现异常 虽然我尝试进行了 Defender 离线扫描,但仍然没有发现明确结果。 如图 5 所示。 七、现在回头看,这里面有哪些异常信号? 如果把整个事件串起来看,其实已经存在不少风险信号。 1. 从未听说过的会议平台 fymeet.app 在开发者圈基本没有知名度。 2. 官网客户端无法下载 正常商业软件极少出现这种情况。 3. Telegram 直接发送安装包 这是最大的风险点之一。 4. 安装过程异常 包括: CMD 黑框 无安装界面 无桌面图标 5. 安装后出现异常进程 出现: sysupdatewin.exe sysupdwin.exe 等可疑进程。 6. CPU 持续高占用 结束进程后立即恢复正常。 7. 对方后续不再回应 第二天发现问题后。 我向对方发送了一条消息: 这个文件带木马了,你清楚么? 结果: 已读。 未回复。 而且我还注意到,对方的 Telegram 昵称从此前的名称变成了另外一个名称。 当然,仅凭这一点无法证明什么。 但整个事件放在一起看,就显得非常耐人寻味。 八、我最终的处理方式 考虑到: 已经运行过未知 EXE 出现持久化进程 Defender 未能明确识别 我本身是开发者,电脑中存在大量开发环境与账号信息 最终我决定: 直接重装系统。 同时准备将主要开发环境迁移到 Ubuntu 。 虽然重装成本不低,但相比持续担心系统是否被植入后门,我认为这是更稳妥的选择。 九、给远程开发者的几点建议 不要因为对方懂技术就放松警惕 真正的攻击者也会研究技术栈和岗位需求。 不要因为前面用了 Zoom 就认为后面一定安全 本次事件前半段几乎完全符合正常招聘流程。 不要运行 Telegram 私发的 EXE 尤其是: xxx.zip 中的: xxx.exe Web3 招聘领域需要额外谨慎 这是一个高薪、跨国、远程协作非常普遍的行业。 同时也是网络攻击和社工攻击高发区域。 开发者本身就是高价值目标 因为开发者电脑中往往存在: GitHub SSH Key VPS 密钥 API Token 浏览器登录态 Web3 钱包插件 因此比普通用户更容易成为攻击目标。 结语 直到现在,我依然无法百分之百确定: fyMeet 是否本身就是恶意软件; OTsea 是否真实存在; 还是某个环节被利用进行了木马投递。 但可以确定的是: 在安装 fyMeet.exe 后,我的电脑确实出现了异常进程与异常资源占用。 因此我选择将整个过程公开记录下来。 如果你也正在寻找远程工作,尤其是 Web3 相关岗位,希望这篇经历能给你提供一个参考。 有些风险,并不是来自那些“一眼假”的诈骗。 而恰恰来自那些看起来非常真实、非常专业的招聘流程。
最近在寻找 PHP / Go / Web3 远程工作机会时,我经历了一次非常值得记录的事件。 整个过程前半段看起来几乎与正常招聘没有区别: HR 主动联系 技术栈匹配 Zoom 面试 讨论薪资与团队情况 直到后面安装了一个名为 fyMeet.exe 的会议客户端后,电脑开始出现异常,我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。 这篇文章记录完整经过,希望能给同样在寻找远程工作的开发者一些参考。 一、Telegram 上收到 Web3 招聘邀请 5 月 20 日,我在 Telegram 上收到一位 HR 的联系。 对方表示: 你好,你在高并发系统架构和后端开发方向经验很匹配,非常适合担任后端技术负责人或系统架构工程师岗位。 随后介绍了一个名为 OTsea 的 Web3 项目。 项目描述包括: Web3 数字资产基础设施 多链交易平台 链上金融与数据系统 Go / Java / Solidity 技术栈 完全远程办公 5000~8000 USDT 薪资区间 说实话,这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说,非常具有针对性。 而且沟通过程中,对方能够正常回答: 项目阶段 技术栈 团队规模 工作方式 因此当时并没有产生太多怀疑。 如图 1 所示。 二、安排 Zoom 面试 几天后,对方主动安排 Zoom 面试。 使用的是标准 Zoom 链接: https://us05web.zoom.us/... 面试官名叫 Igor 。 整个面试大约持续了 10 分钟左右。 由于对方中文口音较重,我很多内容听得并不清楚,因此面试结束后我主动提出: 是否可以安排英文面试,或者通过文字沟通技术问题。 对方表示: Igor 对此次交流很满意,一个小时后会再次联系我。 直到这里,我依然认为这是一次正常的招聘流程。 毕竟: 使用 Zoom 有真实面试官 有技术交流 有薪资讨论 都比较符合远程团队招聘流程。 如图 2 所示。 三、第二次沟通开始出现异常 大约一个小时后,对方再次联系我: 我们能在 30 分钟后再进行一次电话吗?我觉得您可能很适合我们。 随后,对方没有继续使用 Zoom 。 而是发来了一个我从未听说过的平台: https://fymeet.app 并附带邀请链接: https://fymeet.app/invite?code=xxxxxx 消息内容如下: 您可以连接到我们的 Work Hub ,我们在等您。 此时我虽然有些疑惑,但考虑到 Web3 圈经常使用各种小众协作工具,因此还是点击进入了。 四、最危险的一步:安装 fyMeet 客户端 进入网页后,对方表示: 我们听不到您的声音,请打开麦克风。 随后又询问: VPN 开了吗? 当时我使用的是网页版。 但始终无法正常进行语音沟通。 于是我尝试下载客户端。 结果发现: 官网客户端下载失败。 随后我询问: 你是用的客户端么?我现在下载不了。 对方很快回复: 请试试这个。 然后直接通过 Telegram 发来了一个压缩包: fyMeet.zip 大小约 29MB 。 解压后得到: fyMeet.exe 现在回头看,这一步其实已经是非常明显的危险信号。 因为正规的远程招聘流程中,很少会出现: 官网下载失败 Telegram 直接发送客户端 要求立即安装并进入会议 这种情况。 如图 3 所示。 五、安装后开始出现异常 运行 fyMeet.exe 后。 我发现整个安装过程非常奇怪。 主要表现为: 多次弹出 CMD 黑框 没有正常安装向导 没有桌面图标 没有开始菜单项 看起来像安装失败 当时我的第一反应是: 可能只是一个比较小众、做得不成熟的会议软件。 因此并没有立刻意识到问题。 直到第二天。 我发现电脑 CPU 占用异常。 任务管理器中出现多个可疑进程: sysupdatewin.exe 随后又变成: sysupdwin.exe CPU 占用一度超过 90%。 结束这些进程后: CPU 占用立即恢复正常。 如图 4 所示。 六、进一步排查 继续查看后发现: 对应文件位于: C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\ 注意这里有一个细节: 目录名居然写成: SysUpdateProccess 而不是: SysUpdateProcess 连 Process 的拼写都错误。 这进一步加深了我的怀疑。 之后我又发现: 存在开机启动项 进程会自动启动 Windows Defender 普通扫描没有发现异常 虽然我尝试进行了 Defender 离线扫描,但仍然没有发现明确结果。 如图 5 所示。 七、现在回头看,这里面有哪些异常信号? 如果把整个事件串起来看,其实已经存在不少风险信号。 1. 从未听说过的会议平台 fymeet.app 在开发者圈基本没有知名度。 2. 官网客户端无法下载 正常商业软件极少出现这种情况。 3. Telegram 直接发送安装包 这是最大的风险点之一。 4. 安装过程异常 包括: CMD 黑框 无安装界面 无桌面图标 5. 安装后出现异常进程 出现: sysupdatewin.exe sysupdwin.exe 等可疑进程。 6. CPU 持续高占用 结束进程后立即恢复正常。 7. 对方后续不再回应 第二天发现问题后。 我向对方发送了一条消息: 这个文件带木马了,你清楚么? 结果: 已读。 未回复。 而且我还注意到,对方的 Telegram 昵称从此前的名称变成了另外一个名称。 当然,仅凭这一点无法证明什么。 但整个事件放在一起看,就显得非常耐人寻味。 八、我最终的处理方式 考虑到: 已经运行过未知 EXE 出现持久化进程 Defender 未能明确识别 我本身是开发者,电脑中存在大量开发环境与账号信息 最终我决定: 直接重装系统。 同时准备将主要开发环境迁移到 Ubuntu 。 虽然重装成本不低,但相比持续担心系统是否被植入后门,我认为这是更稳妥的选择。 九、给远程开发者的几点建议 不要因为对方懂技术就放松警惕 真正的攻击者也会研究技术栈和岗位需求。 不要因为前面用了 Zoom 就认为后面一定安全 本次事件前半段几乎完全符合正常招聘流程。 不要运行 Telegram 私发的 EXE 尤其是: xxx.zip 中的: xxx.exe Web3 招聘领域需要额外谨慎 这是一个高薪、跨国、远程协作非常普遍的行业。 同时也是网络攻击和社工攻击高发区域。 开发者本身就是高价值目标 因为开发者电脑中往往存在: GitHub SSH Key VPS 密钥 API Token 浏览器登录态 Web3 钱包插件 因此比普通用户更容易成为攻击目标。 结语 直到现在,我依然无法百分之百确定: fyMeet 是否本身就是恶意软件; OTsea 是否真实存在; 还是某个环节被利用进行了木马投递。 但可以确定的是: 在安装 fyMeet.exe 后,我的电脑确实出现了异常进程与异常资源占用。 因此我选择将整个过程公开记录下来。 如果你也正在寻找远程工作,尤其是 Web3 相关岗位,希望这篇经历能给你提供一个参考。 有些风险,并不是来自那些“一眼假”的诈骗。 而恰恰来自那些看起来非常真实、非常专业的招聘流程。
最近在寻找 PHP / Go / Web3 远程工作机会时,我经历了一次非常值得记录的事件。 整个过程前半段看起来几乎与正常招聘没有区别: HR 主动联系 技术栈匹配 Zoom 面试 讨论薪资与团队情况 直到后面安装了一个名为 fyMeet.exe 的会议客户端后,电脑开始出现异常,我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。 这篇文章记录完整经过,希望能给同样在寻找远程工作的开发者一些参考。 一、Telegram 上收到 Web3 招聘邀请 5 月 20 日,我在 Telegram 上收到一位 HR 的联系。 对方表示: 你好,你在高并发系统架构和后端开发方向经验很匹配,非常适合担任后端技术负责人或系统架构工程师岗位。 随后介绍了一个名为 OTsea 的 Web3 项目。 项目描述包括: Web3 数字资产基础设施 多链交易平台 链上金融与数据系统 Go / Java / Solidity 技术栈 完全远程办公 5000~8000 USDT 薪资区间 说实话,这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说,非常具有针对性。 而且沟通过程中,对方能够正常回答: 项目阶段 技术栈 团队规模 工作方式 因此当时并没有产生太多怀疑。 如图 1 所示。 二、安排 Zoom 面试 几天后,对方主动安排 Zoom 面试。 使用的是标准 Zoom 链接: https://us05web.zoom.us/... 面试官名叫 Igor 。 整个面试大约持续了 10 分钟左右。 由于对方中文口音较重,我很多内容听得并不清楚,因此面试结束后我主动提出: 是否可以安排英文面试,或者通过文字沟通技术问题。 对方表示: Igor 对此次交流很满意,一个小时后会再次联系我。 直到这里,我依然认为这是一次正常的招聘流程。 毕竟: 使用 Zoom 有真实面试官 有技术交流 有薪资讨论 都比较符合远程团队招聘流程。 如图 2 所示。 三、第二次沟通开始出现异常 大约一个小时后,对方再次联系我: 我们能在 30 分钟后再进行一次电话吗?我觉得您可能很适合我们。 随后,对方没有继续使用 Zoom 。 而是发来了一个我从未听说过的平台: https://fymeet.app 并附带邀请链接: https://fymeet.app/invite?code=xxxxxx 消息内容如下: 您可以连接到我们的 Work Hub ,我们在等您。 此时我虽然有些疑惑,但考虑到 Web3 圈经常使用各种小众协作工具,因此还是点击进入了。 四、最危险的一步:安装 fyMeet 客户端 进入网页后,对方表示: 我们听不到您的声音,请打开麦克风。 随后又询问: VPN 开了吗? 当时我使用的是网页版。 但始终无法正常进行语音沟通。 于是我尝试下载客户端。 结果发现: 官网客户端下载失败。 随后我询问: 你是用的客户端么?我现在下载不了。 对方很快回复: 请试试这个。 然后直接通过 Telegram 发来了一个压缩包: fyMeet.zip 大小约 29MB 。 解压后得到: fyMeet.exe 现在回头看,这一步其实已经是非常明显的危险信号。 因为正规的远程招聘流程中,很少会出现: 官网下载失败 Telegram 直接发送客户端 要求立即安装并进入会议 这种情况。 如图 3 所示。 五、安装后开始出现异常 运行 fyMeet.exe 后。 我发现整个安装过程非常奇怪。 主要表现为: 多次弹出 CMD 黑框 没有正常安装向导 没有桌面图标 没有开始菜单项 看起来像安装失败 当时我的第一反应是: 可能只是一个比较小众、做得不成熟的会议软件。 因此并没有立刻意识到问题。 直到第二天。 我发现电脑 CPU 占用异常。 任务管理器中出现多个可疑进程: sysupdatewin.exe 随后又变成: sysupdwin.exe CPU 占用一度超过 90%。 结束这些进程后: CPU 占用立即恢复正常。 如图 4 所示。 六、进一步排查 继续查看后发现: 对应文件位于: C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\ 注意这里有一个细节: 目录名居然写成: SysUpdateProccess 而不是: SysUpdateProcess 连 Process 的拼写都错误。 这进一步加深了我的怀疑。 之后我又发现: 存在开机启动项 进程会自动启动 Windows Defender 普通扫描没有发现异常 虽然我尝试进行了 Defender 离线扫描,但仍然没有发现明确结果。 如图 5 所示。 七、现在回头看,这里面有哪些异常信号? 如果把整个事件串起来看,其实已经存在不少风险信号。 1. 从未听说过的会议平台 fymeet.app 在开发者圈基本没有知名度。 2. 官网客户端无法下载 正常商业软件极少出现这种情况。 3. Telegram 直接发送安装包 这是最大的风险点之一。 4. 安装过程异常 包括: CMD 黑框 无安装界面 无桌面图标 5. 安装后出现异常进程 出现: sysupdatewin.exe sysupdwin.exe 等可疑进程。 6. CPU 持续高占用 结束进程后立即恢复正常。 7. 对方后续不再回应 第二天发现问题后。 我向对方发送了一条消息: 这个文件带木马了,你清楚么? 结果: 已读。 未回复。 而且我还注意到,对方的 Telegram 昵称从此前的名称变成了另外一个名称。 当然,仅凭这一点无法证明什么。 但整个事件放在一起看,就显得非常耐人寻味。 八、我最终的处理方式 考虑到: 已经运行过未知 EXE 出现持久化进程 Defender 未能明确识别 我本身是开发者,电脑中存在大量开发环境与账号信息 最终我决定: 直接重装系统。 同时准备将主要开发环境迁移到 Ubuntu 。 虽然重装成本不低,但相比持续担心系统是否被植入后门,我认为这是更稳妥的选择。 九、给远程开发者的几点建议 不要因为对方懂技术就放松警惕 真正的攻击者也会研究技术栈和岗位需求。 不要因为前面用了 Zoom 就认为后面一定安全 本次事件前半段几乎完全符合正常招聘流程。 不要运行 Telegram 私发的 EXE 尤其是: xxx.zip 中的: xxx.exe Web3 招聘领域需要额外谨慎 这是一个高薪、跨国、远程协作非常普遍的行业。 同时也是网络攻击和社工攻击高发区域。 开发者本身就是高价值目标 因为开发者电脑中往往存在: GitHub SSH Key VPS 密钥 API Token 浏览器登录态 Web3 钱包插件 因此比普通用户更容易成为攻击目标。 结语 直到现在,我依然无法百分之百确定: fyMeet 是否本身就是恶意软件; OTsea 是否真实存在; 还是某个环节被利用进行了木马投递。 但可以确定的是: 在安装 fyMeet.exe 后,我的电脑确实出现了异常进程与异常资源占用。 因此我选择将整个过程公开记录下来。 如果你也正在寻找远程工作,尤其是 Web3 相关岗位,希望这篇经历能给你提供一个参考。 有些风险,并不是来自那些“一眼假”的诈骗。 而恰恰来自那些看起来非常真实、非常专业的招聘流程。