De acordo com a SlowMist, a MistEye detectou uma atividade maliciosa em 18 de julho, visando desenvolvedores por meio de falsas ofertas de emprego em Web3. Os atacantes se passaram por recrutadores no LinkedIn, ganharam confiança ao discutir experiências profissionais e enviaram um repositório enganoso no GitHub disfarçado como um “interview MVP”. Quando os desenvolvedores executaram o projeto, um carregador oculto em Node.js foi acionado e implantou múltiplos payloads.
O código malicioso foi criado para roubar credenciais do navegador e dados de carteiras, coletar arquivos sensíveis, executar comandos remotos com acesso a uma shell interativa e monitorar a atividade da área de transferência. A SlowMist orientou os desenvolvedores a inspecionar minuciosamente scripts do projeto, dependências e configurações de build antes de executar repositórios desconhecidos.