SlowMist ha identificado una campaña maliciosa que apunta a desarrolladores mediante ofertas de trabajo falsas en Web3. Los atacantes se hicieron pasar por reclutadores en LinkedIn, ganando confianza al hablar sobre experiencia laboral y entrevistas antes de enviar un repositorio de GitHub disfrazado como un "MVP de entrevista". El repositorio contenía un cargador oculto de Node.js en el archivo theme/js/auron-core.min.js, que se hacía pasar por un plugin de Tailwind. Al ejecutarse, desplegaba cargas útiles para robar credenciales del navegador y datos de billeteras, recopilar archivos sensibles, ejecutar comandos remotos y monitorear portapapeles. SlowMist aconseja a los desarrolladores examinar cuidadosamente los scripts del proyecto, las dependencias y las configuraciones de compilación antes de ejecutar código desconocido.