Menurut SlowMist, MistEye mendeteksi aktivitas berbahaya pada 18 Juli yang menargetkan pengembang melalui lowongan kerja Web3 palsu. Pelaku menyamar sebagai perekrut di LinkedIn, membangun kepercayaan dengan membahas pengalaman kerja, lalu mengirim repositori GitHub yang menipu dengan menyamar sebagai “interview MVP”. Saat pengembang menjalankan proyek tersebut, loader Node.js yang tersembunyi dipicu dan menjalankan beberapa payload.
Kode berbahaya itu dirancang untuk mencuri kredensial browser dan data dompet, mengumpulkan file-file sensitif, menjalankan perintah jarak jauh dengan akses shell interaktif, serta memantau aktivitas clipboard. SlowMist menyarankan pengembang untuk memeriksa skrip proyek, dependensi, dan konfigurasi build secara menyeluruh sebelum menjalankan repositori kode yang tidak dikenal.