أفادت شركة SlowMist بأن MistEye رصدت نشاطًا خبيثًا في 18 يوليو يستهدف المطورين عبر إعلانات وظائف Web3 مزيفة. انتحل المهاجمون صفة مسؤولي التوظيف على LinkedIn، وبنوا الثقة عبر مناقشة خبرات العمل، ثم أرسلوا مستودعًا وهميًا على GitHub مخادعًا مُتخفّيًا على أنه «interview MVP». وعندما شغّل المطورون المشروع، فعّلت أداة تحميل خفية مكتوبة بـ Node.js لتنفيذ ونشر عدة حمولات (payloads).
صُممت الشيفرة الخبيثة لسرقة بيانات اعتماد المتصفح وبيانات المحفظة، وجمع ملفات حساسة، وتنفيذ أوامر عن بُعد مع وصول تفاعلي عبر shell، ومراقبة نشاط الحافظة (clipboard). ونصحت SlowMist المطورين بفحص نصوص المشروع (scripts) والتبعيات وإعدادات البناء (build configurations) بدقة قبل تشغيل مستودعات أكواد غير معروفة.