Según PANews, un usuario llamado evada informó recientemente en el sitio web V2EX que durante un proceso de solicitud de empleo, se le pidió que utilizara una plantilla de proyecto de GitHub proporcionada por el reclutador. Se descubrió que el proyecto contenía código malicioso. Específicamente, el archivo logo.png, que parecía ser una imagen, en realidad contenía código ejecutable. Este código se activó a través del archivo config-overrides.js con la intención de robar claves privadas de criptomonedas locales.
Evada destacó que el código malicioso envía solicitudes a una URL específica para descargar un archivo troyano, que luego se configura para ejecutarse automáticamente al inicio, lo que representa un gran sigilo y peligro. El administrador de V2EX, Livid, declaró que la cuenta involucrada ha sido prohibida y GitHub ha eliminado el repositorio malicioso relacionado. Varios usuarios comentaron que este nuevo tipo de estafa dirigido a programadores es altamente engañoso, instando a los desarrolladores a tener precaución al ejecutar proyectos de fuentes desconocidas.