SlowMist đã phát hiện một chiến dịch độc hại nhắm vào các nhà phát triển thông qua các lời mời làm việc giả mạo trong lĩnh vực Web3. Kẻ tấn công giả danh nhà tuyển dụng trên LinkedIn, tạo lòng tin bằng cách thảo luận về kinh nghiệm làm việc và phỏng vấn trước khi gửi một kho lưu trữ GitHub được ngụy trang dưới dạng "interview MVP". Kho lưu trữ này chứa một trình tải Node.js ẩn trong tệp theme/js/auron-core.min.js, giả dạng như một plugin Tailwind. Khi được thực thi, nó triển khai các payload để đánh cắp thông tin đăng nhập trình duyệt và dữ liệu ví, thu thập các tệp nhạy cảm, thực thi các lệnh từ xa và giám sát clipboard. SlowMist khuyên các nhà phát triển nên kiểm tra kỹ các script dự án, các phụ thuộc và cấu hình xây dựng trước khi chạy mã không rõ nguồn gốc.