一次真实的 Web3 招聘木马经历：从 Zoom 面试到 fyMeet.exe，最终发现电脑被植入异常进程

最近在寻找 PHP / Go / Web3 远程工作机会时，我经历了一次非常值得记录的事件。

整个过程前半段看起来几乎与正常招聘没有区别：

• HR 主动联系

• 技术栈匹配

• Zoom 面试

• 讨论薪资与团队情况

直到后面安装了一个名为 fyMeet.exe 的会议客户端后，电脑开始出现异常，我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。

这篇文章记录完整经过，希望能给同样在寻找远程工作的开发者一些参考。

一、Telegram 上收到 Web3 招聘邀请

5 月 20 日，我在 Telegram 上收到一位 HR 的联系。

对方表示：

你好，你在高并发系统架构和后端开发方向经验很匹配，非常适合担任后端技术负责人或系统架构工程师岗位。

随后介绍了一个名为 OTsea 的 Web3 项目。

项目描述包括：

• Web3

• 数字资产基础设施

• 多链交易平台

• 链上金融与数据系统

• Go / Java / Solidity 技术栈

• 完全远程办公

• 5000~8000 USDT 薪资区间

说实话，这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说，非常具有针对性。

而且沟通过程中，对方能够正常回答：

• 项目阶段

• 技术栈

• 团队规模

• 工作方式

因此当时并没有产生太多怀疑。

如图 1 所示。

二、安排 Zoom 面试

几天后，对方主动安排 Zoom 面试。

使用的是标准 Zoom 链接：

https://us05web.zoom.us/...

面试官名叫 Igor 。

整个面试大约持续了 10 分钟左右。

由于对方中文口音较重，我很多内容听得并不清楚，因此面试结束后我主动提出：

是否可以安排英文面试，或者通过文字沟通技术问题。

对方表示：

Igor 对此次交流很满意，一个小时后会再次联系我。

直到这里，我依然认为这是一次正常的招聘流程。

毕竟：

• 使用 Zoom

• 有真实面试官

• 有技术交流

• 有薪资讨论

都比较符合远程团队招聘流程。

如图 2 所示。

三、第二次沟通开始出现异常

大约一个小时后，对方再次联系我：

我们能在 30 分钟后再进行一次电话吗？我觉得您可能很适合我们。

随后，对方没有继续使用 Zoom 。

而是发来了一个我从未听说过的平台：

https://fymeet.app

并附带邀请链接：

https://fymeet.app/invite?code=xxxxxx

消息内容如下：

您可以连接到我们的 Work Hub ，我们在等您。

此时我虽然有些疑惑，但考虑到 Web3 圈经常使用各种小众协作工具，因此还是点击进入了。

四、最危险的一步：安装 fyMeet 客户端

进入网页后，对方表示：

我们听不到您的声音，请打开麦克风。

随后又询问：

VPN 开了吗？

当时我使用的是网页版。

但始终无法正常进行语音沟通。

于是我尝试下载客户端。

结果发现：

官网客户端下载失败。

随后我询问：

你是用的客户端么？我现在下载不了。

对方很快回复：

请试试这个。

然后直接通过 Telegram 发来了一个压缩包：

fyMeet.zip

大小约 29MB 。

解压后得到：

fyMeet.exe

现在回头看，这一步其实已经是非常明显的危险信号。

因为正规的远程招聘流程中，很少会出现：

• 官网下载失败

• Telegram 直接发送客户端

• 要求立即安装并进入会议

这种情况。

如图 3 所示。

五、安装后开始出现异常

运行 fyMeet.exe 后。

我发现整个安装过程非常奇怪。

主要表现为：

• 多次弹出 CMD 黑框

• 没有正常安装向导

• 没有桌面图标

• 没有开始菜单项

• 看起来像安装失败

当时我的第一反应是：

可能只是一个比较小众、做得不成熟的会议软件。

因此并没有立刻意识到问题。

直到第二天。

我发现电脑 CPU 占用异常。

任务管理器中出现多个可疑进程：

sysupdatewin.exe

随后又变成：

sysupdwin.exe

CPU 占用一度超过 90%。

结束这些进程后：

CPU 占用立即恢复正常。

如图 4 所示。

六、进一步排查

继续查看后发现：

对应文件位于：

C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\

注意这里有一个细节：

目录名居然写成：

SysUpdateProccess

而不是：

SysUpdateProcess

连 Process 的拼写都错误。

这进一步加深了我的怀疑。

之后我又发现：

• 存在开机启动项

• 进程会自动启动

• Windows Defender 普通扫描没有发现异常

虽然我尝试进行了 Defender 离线扫描，但仍然没有发现明确结果。

如图 5 所示。

七、现在回头看，这里面有哪些异常信号？

如果把整个事件串起来看，其实已经存在不少风险信号。

1. 从未听说过的会议平台

fymeet.app 在开发者圈基本没有知名度。

2. 官网客户端无法下载

正常商业软件极少出现这种情况。

3. Telegram 直接发送安装包

这是最大的风险点之一。

4. 安装过程异常

包括：

• CMD 黑框

• 无安装界面

• 无桌面图标

5. 安装后出现异常进程

出现：

sysupdatewin.exe
sysupdwin.exe

等可疑进程。

6. CPU 持续高占用

结束进程后立即恢复正常。

7. 对方后续不再回应

第二天发现问题后。

我向对方发送了一条消息：

这个文件带木马了，你清楚么？

结果：

已读。

未回复。

而且我还注意到，对方的 Telegram 昵称从此前的名称变成了另外一个名称。

当然，仅凭这一点无法证明什么。

但整个事件放在一起看，就显得非常耐人寻味。

八、我最终的处理方式

考虑到：

• 已经运行过未知 EXE

• 出现持久化进程

• Defender 未能明确识别

• 我本身是开发者，电脑中存在大量开发环境与账号信息

最终我决定：

直接重装系统。

同时准备将主要开发环境迁移到 Ubuntu 。

虽然重装成本不低，但相比持续担心系统是否被植入后门，我认为这是更稳妥的选择。

九、给远程开发者的几点建议

不要因为对方懂技术就放松警惕

真正的攻击者也会研究技术栈和岗位需求。

不要因为前面用了 Zoom 就认为后面一定安全

本次事件前半段几乎完全符合正常招聘流程。

不要运行 Telegram 私发的 EXE

尤其是：

xxx.zip

中的：

xxx.exe

Web3 招聘领域需要额外谨慎

这是一个高薪、跨国、远程协作非常普遍的行业。

同时也是网络攻击和社工攻击高发区域。

开发者本身就是高价值目标

因为开发者电脑中往往存在：

• GitHub

• SSH Key

• VPS 密钥

• API Token

• 浏览器登录态

• Web3 钱包插件

因此比普通用户更容易成为攻击目标。

结语

直到现在，我依然无法百分之百确定：

• fyMeet 是否本身就是恶意软件；

• OTsea 是否真实存在；

• 还是某个环节被利用进行了木马投递。

但可以确定的是：

在安装 fyMeet.exe 后，我的电脑确实出现了异常进程与异常资源占用。

因此我选择将整个过程公开记录下来。

如果你也正在寻找远程工作，尤其是 Web3 相关岗位，希望这篇经历能给你提供一个参考。

有些风险，并不是来自那些“一眼假”的诈骗。

而恰恰来自那些看起来非常真实、非常专业的招聘流程。