D’après SlowMist, MistEye a détecté une activité malveillante le 18 juillet visant des développeurs via de fausses offres d’emploi Web3. Les attaquants ont usurpé des recruteurs sur LinkedIn, ont instauré la confiance en se prévalant d’une expérience professionnelle, puis ont envoyé un dépôt GitHub trompeur déguisé en « interview MVP ». Lorsque les développeurs ont exécuté le projet, un chargeur caché en Node.js a été déclenché et a déployé plusieurs charges utiles.
Le code malveillant était conçu pour voler des identifiants de navigateur et des données de portefeuille, collecter des fichiers sensibles, exécuter des commandes à distance avec un accès à un shell interactif, et surveiller l’activité du presse-papiers. SlowMist a conseillé aux développeurs d’inspecter minutieusement les scripts du projet, les dépendances et les configurations de build avant d’exécuter des dépôts de code inconnus.