一次真实的 Web3 招聘木马经历:从 Zoom 面试到 fyMeet.exe,最终发现电脑被植入异常进程
最近在寻找 PHP / Go / Web3 远程工作机会时,我经历了一件至今想起来都觉得后怕的事情。
整个过程前半段看起来几乎与正常招聘没有任何区别:
- Telegram 上 HR 主动联系
- 岗位与我的技术背景高度匹配
- Zoom 技术面试
- 讨论团队规模、技术栈和薪资范围
- 后续安排第二轮沟通
直到我安装了一个名为 fyMeet.exe 的会议客户端后,电脑开始出现异常进程、CPU 占用飙升,我才意识到自己可能遭遇了一次针对开发者的恶意软件投递。
这篇文章记录整个事件的经过,也希望能给正在寻找远程工作、尤其是 Web3 相关岗位的开发者一些参考。
一、Telegram 上收到 Web3 招聘邀请
事情发生在 2026 年 5 月。
当时我正在寻找 Go 后端、系统架构以及远程岗位的机会。
5 月 20 日,我在 Telegram 上收到一位自称 HR 的联系。
对方开场白如下:
你好,你在高并发系统架构和后端开发方向经验很匹配,非常适合担任后端技术负责人或系统架构工程师岗位。请问你目前方便接收新的机会吗?
说实话,这样的开场并不突兀。
因为我近期确实:
- 在远程社区发布过简历
- 在多个 Web3 招聘平台填写过资料
- 持续寻找 Go 相关远程岗位
于是我进行了正常回复。
我询问了:
- 公司方向
- 岗位职责
- 技术栈
- 是否支持远程
- 薪资范围
随后对方开始介绍项目。
对方介绍的项目
项目名称:
OTsea
项目描述如下:
OTsea 是一个专注于 Web3 与数字资产基础设施的创新项目,正在构建多链交易平台以及链上金融与数据系统。
技术栈包括:
- Go
- Java
- Solidity
- Node.js
- React
工作方式:
- 完全远程
团队规模:
- 数十人
薪资范围:
- 5000~8000 USDT/月
坦白说。
对于一个拥有多年 Go、高并发系统、分布式架构经验的开发者来说,这套描述的匹配度相当高。
而且对方能够正常回答:
- 团队规模
- 技术栈
- 工作方式
- 项目阶段
因此当时并没有产生太多怀疑。
如图1所示。
二、第一次 Zoom 面试
5 月 21 日。
对方主动提出安排 Zoom 面试。
聊天记录如下:
我们可以安排一次 Zoom 面试吗?
我回复:
可以的。
随后双方约定:
5 月 25 日下午 16:30。
Zoom 面试
面试当天。
对方发送了标准 Zoom 链接。
面试官名叫:
Igor
整个过程看起来都非常正常。
甚至让我进一步降低了警惕。
因为:
- 使用 Zoom
- 有真实面试官
- 有实时沟通
- 存在技术交流
这些都符合正常远程招聘流程。
不过有一个问题。
由于对方中文口音较重。
我很多内容并没有完全听懂。
面试结束后。
我主动提出:
我感觉听 Igor 说的中文,不是太清晰。
看下是否可以来一场英文的面试?
或者文字面试也可以。
随后对方回复:
Igor 对与你的交流很满意。
我们会和团队一起讨论后续合作事宜。
大约一个小时后会再联系你。
直到这里。
我依然认为:
这是一家正常招聘的远程 Web3 公司。
如图2所示。
三、事情开始变得奇怪
大约一个小时后。
对方再次联系我。
消息内容如下:
我们能在30分钟后再进行一次电话吗?
我觉得您可能很适合我们。
我问:
英文么?
对方回复:
我们用中文聊吧。
随后。
对方发来了一个新的会议链接:
https://fymeet.app/invite?code=xxxxxx
并附带一句话:
您可以连接到我们的 Work Hub,我们在等您。
说实话。
这是我第一次听说:
fymeet.app
这个平台。
但由于 Web3 圈本身经常使用:
- Discord
- Slack
- Telegram
- 各种小众协作工具
所以我当时并没有太在意。
四、最危险的一步:安装 fyMeet 客户端
进入网页后。
对方表示:
我们听不到您的聲音,請打開麥克風。
随后又问:
VPN 开了吗?
我回复:
开了的。
由于网页版始终无法正常沟通。
于是我尝试下载客户端。
结果发现:
客户端下载失败。
我询问:
你是用的客户端么?
我现在下载不了。
对方回复:
请试试这个。
然后通过 Telegram 发来了一个文件:
fyMeet.zip
大小约:
29.7 MB
如图3所示。
现在回头看。
这一刻其实已经出现了非常明显的风险信号。
因为:
正常的软件分发流程应该是:
官方网站
↓
下载安装
↓
使用
而不是:
官网无法下载
↓
Telegram 私发压缩包
↓
要求立即安装
但当时我并没有意识到这一点。
五、安装后的异常
我解压缩后得到:
fyMeet.exe
然后直接运行。
安装过程中。
我发现几个异常现象:
异常一
不断弹出 CMD 黑框。
黑框出现后迅速消失。
整个过程持续了几次。
异常二
没有标准安装界面。
没有:
- 下一步
- 安装目录
- 完成页面
这些常见安装流程。
异常三
没有桌面图标。
异常四
开始菜单中也找不到程序。
当时我的判断是:
可能只是一个比较小众、开发质量一般的会议软件。
因此并没有继续深究。
随后双方改为文字沟通。
对方发来了一份详细问卷。
六、这份问卷其实做得非常专业
对方发来的问题包括:
- Go 开发经验
- Web3 开发经验
- RPC 服务经验
- 智能合约经验
- 节点经验
- Docker
- Kubernetes
- GitHub
- 英语水平
- 薪资期望
甚至包括:
MetaMask 钱包地址(用于工资发放)
我当时填写了完整资料。
现在回头看。
这份问卷的专业程度非常高。
如果只是为了获取开发者信任。
它确实起到了作用。
因为从表面来看:
这就是一份正常的区块链招聘问卷。
七、第二天发现异常
真正的问题出现在第二天。
开机后。
我明显感觉电脑变卡。
CPU 风扇开始持续高速运转。
打开任务管理器后。
我发现:
CPU 占用率超过 90%。
排名靠前的进程包括:
sysupdatewin.exe
后来又出现:
sysupdwin.exe
多个同名进程。
最关键的是:
当我手动结束这些进程后。
CPU 占用率立即恢复正常。
这一刻我开始意识到:
这大概率不是正常软件。
如图4所示。
八、进一步排查
查看文件位置后发现:
对应路径位于:
C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\
这里还有一个细节。
目录名称居然是:
SysUpdateProccess
而不是:
SysUpdateProcess
连 Process 的拼写都写错了。
这显然不像一个正规软件会出现的问题。
随后我继续检查。
发现:
- 存在开机启动项
- 进程会自动启动
- Defender 普通扫描没有发现异常
之后我还进行了:
Windows Defender 脱机扫描
但依然没有发现明确结果。
九、我开始怀疑整个招聘流程
此时回头重新审视整个过程。
很多细节开始变得耐人寻味。
例如:
为什么第一次面试使用 Zoom?
为什么第二次突然换成 fyMeet?
为什么官网客户端下载失败?
为什么要通过 Telegram 发客户端?
为什么安装后立刻出现异常进程?
这些问题单独看可能都有解释。
但组合在一起后。
就显得非常不正常。
十、最后一次消息
发现问题后。
我给对方发送了一条消息:
这个文件带木马了,你清楚么?
结果:
已读。
未回复。
与此同时。
我发现对方 Telegram 昵称已经发生变化。
从最初联系时的昵称变成了另一个名字。
当然。
仅凭这一点无法说明什么。
但整个事件的发展确实让我产生了更多疑问。
十一、最终决定:重装系统
由于:
- 已经运行未知 EXE
- 出现异常进程
- 存在开机启动
- Defender 未能明确识别
最终我决定:
直接重装系统。
并计划将开发环境逐步迁移到 Ubuntu。
虽然需要重新配置:
- Go
- PHP
- Docker
- Kubernetes
- 开发工具
但相比长期担心系统是否存在后门。
我认为这是更稳妥的选择。
十二、给远程开发者的一些建议
这次经历最大的感受是:
真正危险的往往不是那些一眼就能看出的诈骗。
而是那些:
看起来非常真实的招聘流程。
前期沟通越正常。
后面越容易放松警惕。
如果你也在寻找远程岗位。
尤其是 Web3 相关工作。
建议注意以下几点:
不要轻易运行 Telegram 私发的 EXE
尤其是:
xxx.zip
↓
xxx.exe
这种形式。
不要因为前面用了 Zoom 就放松警惕
一次真实面试并不意味着后续流程一定安全。
对陌生会议软件保持谨慎
特别是:
- 下载量极少
- 搜索结果极少
- 官网无法正常下载
的产品。
开发者本身就是高价值目标
因为开发者电脑中通常包含:
- GitHub
- SSH Key
- VPS
- API Token
- 浏览器登录态
- 钱包插件
因此比普通用户更容易成为攻击目标。
结语
截至写下这篇文章时。
我依然无法百分之百确认:
- fyMeet 是否本身存在恶意行为;
- OTsea 是否真实存在;
- 还是某个环节被第三方利用。
但可以确定的是:
在安装 fyMeet.exe 后,我的电脑出现了异常进程、异常 CPU 占用以及持久化启动行为。
因此我决定将整个经历完整记录下来。
如果未来有人搜索:
- fyMeet
- fymeet.app
- OTsea
- Web3 招聘木马
- Telegram 招聘面试
希望这篇文章能够提供一些参考。
