De acordo com a SlowMist, a MistEye detetou uma atividade maliciosa em 18 de julho, direcionada a programadores através de falsas ofertas de emprego Web3. Os atacantes fizeram-se passar por recrutadores no LinkedIn, ganharam confiança ao discutirem a experiência profissional e enviaram um repositório GitHub enganador, disfarçado como um “interview MVP”. Quando os programadores executaram o projeto, um carregador oculto em Node.js foi ativado e implementou várias cargas úteis.
O código malicioso foi concebido para roubar credenciais do navegador e dados da carteira, recolher ficheiros sensíveis, executar comandos remotos com acesso a uma shell interativa e monitorizar a atividade da área de transferência. A SlowMist aconselhou os programadores a inspecionar minuciosamente os scripts do projeto, dependências e configurações de compilação antes de executarem repositórios de código desconhecidos.