За даними SlowMist, MistEye виявив(ла) зловмисну активність 18 липня, спрямовану на розробників через фейкові оголошення про вакансії Web3. Зловмисники видавали себе за рекрутерів у LinkedIn, завоювали довіру, обговорюючи досвід роботи, та надіслали оманливий репозиторій GitHub, замаскований під «interview MVP». Коли розробники запускали проєкт, прихований завантажувач Node.js спрацював і розгорнув кілька корисних навантажень.
Зловмисний код було розроблено для викрадення облікових даних браузера та даних гаманця, збирання конфіденційних файлів, виконання віддалених команд із інтерактивним доступом до shell, а також для моніторингу активності буфера обміну. SlowMist порадив(ла) розробникам ретельно перевіряти сценарії проєкту, залежності та параметри конфігурації збирання, перш ніж запускати невідомі репозиторії з кодом.