Theo SlowMist, MistEye đã phát hiện hoạt động độc hại vào ngày 18 tháng 7 nhắm vào các nhà phát triển thông qua các tin tuyển dụng Web3 giả mạo. Kẻ tấn công giả danh nhà tuyển dụng trên LinkedIn, tạo niềm tin bằng cách thảo luận kinh nghiệm làm việc, và gửi một kho GitHub lừa đảo được ngụy trang như một “interview MVP”. Khi các nhà phát triển chạy dự án, một trình tải (loader) Node.js ẩn đã kích hoạt và triển khai nhiều payload.
Mã độc được thiết kế để đánh cắp thông tin đăng nhập trình duyệt và dữ liệu ví, thu thập các tệp nhạy cảm, thực thi lệnh từ xa với quyền truy cập shell tương tác, đồng thời giám sát hoạt động clipboard. SlowMist khuyến cáo các nhà phát triển nên kiểm tra kỹ lưỡng các tập lệnh của dự án, phần phụ thuộc và cấu hình build trước khi chạy các kho mã nguồn không rõ nguồn gốc.