最近在寻找 PHP / Go / Web3 远程工作机会时,我经历了一次非常值得记录的事件。
整个过程前半段看起来几乎与正常招聘没有区别:
HR 主动联系
技术栈匹配
Zoom 面试
讨论薪资与团队情况
直到后面安装了一个名为 fyMeet.exe 的会议客户端后,电脑开始出现异常,我才逐渐意识到自己可能遭遇了一次针对开发者的木马投递。
这篇文章记录完整经过,希望能给同样在寻找远程工作的开发者一些参考。
5 月 20 日,我在 Telegram 上收到一位 HR 的联系。
对方表示:
你好,你在高并发系统架构和后端开发方向经验很匹配,非常适合担任后端技术负责人或系统架构工程师岗位。
随后介绍了一个名为 OTsea 的 Web3 项目。
项目描述包括:
Web3
数字资产基础设施
多链交易平台
链上金融与数据系统
Go / Java / Solidity 技术栈
完全远程办公
5000~8000 USDT 薪资区间
说实话,这些描述对于一个拥有 Go 、高并发、分布式系统经验的开发者来说,非常具有针对性。
而且沟通过程中,对方能够正常回答:
项目阶段
技术栈
团队规模
工作方式
因此当时并没有产生太多怀疑。
如图 1 所示。
几天后,对方主动安排 Zoom 面试。
使用的是标准 Zoom 链接:
https://us05web.zoom.us/...
面试官名叫 Igor 。
整个面试大约持续了 10 分钟左右。
由于对方中文口音较重,我很多内容听得并不清楚,因此面试结束后我主动提出:
是否可以安排英文面试,或者通过文字沟通技术问题。
对方表示:
Igor 对此次交流很满意,一个小时后会再次联系我。
直到这里,我依然认为这是一次正常的招聘流程。
毕竟:
使用 Zoom
有真实面试官
有技术交流
有薪资讨论
都比较符合远程团队招聘流程。
如图 2 所示。
大约一个小时后,对方再次联系我:
我们能在 30 分钟后再进行一次电话吗?我觉得您可能很适合我们。
随后,对方没有继续使用 Zoom 。
而是发来了一个我从未听说过的平台:
https://fymeet.app
并附带邀请链接:
https://fymeet.app/invite?code=xxxxxx
消息内容如下:
您可以连接到我们的 Work Hub ,我们在等您。
此时我虽然有些疑惑,但考虑到 Web3 圈经常使用各种小众协作工具,因此还是点击进入了。
进入网页后,对方表示:
我们听不到您的声音,请打开麦克风。
随后又询问:
VPN 开了吗?
当时我使用的是网页版。
但始终无法正常进行语音沟通。
于是我尝试下载客户端。
结果发现:
官网客户端下载失败。
随后我询问:
你是用的客户端么?我现在下载不了。
对方很快回复:
请试试这个。
然后直接通过 Telegram 发来了一个压缩包:
fyMeet.zip
大小约 29MB 。
解压后得到:
fyMeet.exe
现在回头看,这一步其实已经是非常明显的危险信号。
因为正规的远程招聘流程中,很少会出现:
官网下载失败
Telegram 直接发送客户端
要求立即安装并进入会议
这种情况。
如图 3 所示。
运行 fyMeet.exe 后。
我发现整个安装过程非常奇怪。
主要表现为:
多次弹出 CMD 黑框
没有正常安装向导
没有桌面图标
没有开始菜单项
看起来像安装失败
当时我的第一反应是:
可能只是一个比较小众、做得不成熟的会议软件。
因此并没有立刻意识到问题。
直到第二天。
我发现电脑 CPU 占用异常。
任务管理器中出现多个可疑进程:
sysupdatewin.exe
随后又变成:
sysupdwin.exe
CPU 占用一度超过 90%。
结束这些进程后:
CPU 占用立即恢复正常。
如图 4 所示。
继续查看后发现:
对应文件位于:
C:\Users\Thinkpad\AppData\Local\Temp\SysUpdateProccess\
注意这里有一个细节:
目录名居然写成:
SysUpdateProccess
而不是:
SysUpdateProcess
连 Process 的拼写都错误。
这进一步加深了我的怀疑。
之后我又发现:
存在开机启动项
进程会自动启动
Windows Defender 普通扫描没有发现异常
虽然我尝试进行了 Defender 离线扫描,但仍然没有发现明确结果。
如图 5 所示。
如果把整个事件串起来看,其实已经存在不少风险信号。
fymeet.app 在开发者圈基本没有知名度。
正常商业软件极少出现这种情况。
这是最大的风险点之一。
包括:
CMD 黑框
无安装界面
无桌面图标
出现:
sysupdatewin.exe
sysupdwin.exe
等可疑进程。
结束进程后立即恢复正常。
第二天发现问题后。
我向对方发送了一条消息:
这个文件带木马了,你清楚么?
结果:
已读。
未回复。
而且我还注意到,对方的 Telegram 昵称从此前的名称变成了另外一个名称。
当然,仅凭这一点无法证明什么。
但整个事件放在一起看,就显得非常耐人寻味。
考虑到:
已经运行过未知 EXE
出现持久化进程
Defender 未能明确识别
我本身是开发者,电脑中存在大量开发环境与账号信息
最终我决定:
直接重装系统。
同时准备将主要开发环境迁移到 Ubuntu 。
虽然重装成本不低,但相比持续担心系统是否被植入后门,我认为这是更稳妥的选择。
真正的攻击者也会研究技术栈和岗位需求。
本次事件前半段几乎完全符合正常招聘流程。
尤其是:
xxx.zip
中的:
xxx.exe
这是一个高薪、跨国、远程协作非常普遍的行业。
同时也是网络攻击和社工攻击高发区域。
因为开发者电脑中往往存在:
GitHub
SSH Key
VPS 密钥
API Token
浏览器登录态
Web3 钱包插件
因此比普通用户更容易成为攻击目标。
直到现在,我依然无法百分之百确定:
fyMeet 是否本身就是恶意软件;
OTsea 是否真实存在;
还是某个环节被利用进行了木马投递。
但可以确定的是:
在安装 fyMeet.exe 后,我的电脑确实出现了异常进程与异常资源占用。
因此我选择将整个过程公开记录下来。
如果你也正在寻找远程工作,尤其是 Web3 相关岗位,希望这篇经历能给你提供一个参考。
有些风险,并不是来自那些“一眼假”的诈骗。
而恰恰来自那些看起来非常真实、非常专业的招聘流程。