SlowMist a identifié une campagne malveillante ciblant les développeurs via de fausses offres d'emploi Web3. Les attaquants se faisaient passer pour des recruteurs sur LinkedIn, gagnant la confiance en discutant de l'expérience professionnelle et des entretiens avant d'envoyer un dépôt GitHub déguisé en « MVP d'entretien ». Le dépôt contenait un chargeur Node.js caché dans le fichier theme/js/auron-core.min.js, se faisant passer pour un plugin Tailwind. Lors de son exécution, il déployait des charges utiles pour voler les identifiants du navigateur et les données de portefeuille, collecter des fichiers sensibles, exécuter des commandes à distance et surveiller les presse-papiers. SlowMist conseille aux développeurs d'examiner attentivement les scripts du projet, les dépendances et les configurations de build avant d'exécuter un code inconnu.