De acuerdo con SlowMist, MistEye detectó una actividad maliciosa el 18 de julio dirigida a desarrolladores mediante falsas ofertas de trabajo de Web3. Los atacantes se hicieron pasar por reclutadores en LinkedIn, generaron confianza al hablar sobre la experiencia laboral y enviaron un repositorio de GitHub engañoso disfrazado como un “interview MVP”. Cuando los desarrolladores ejecutaron el proyecto, se activó un cargador oculto en Node.js y desplegó múltiples cargas útiles.
El código malicioso estaba diseñado para robar credenciales del navegador y datos de la billetera, recopilar archivos confidenciales, ejecutar comandos remotos con acceso a una shell interactiva y monitorear la actividad del portapapeles. SlowMist recomendó a los desarrolladores inspeccionar minuciosamente los scripts del proyecto, las dependencias y las configuraciones de compilación antes de ejecutar repositorios de código desconocidos.