PANews, le 28 juillet, selon le site V2EX, l’utilisateur evada a récemment posté que lors de son processus de candidature, il a été demandé d’utiliser un modèle de projet GitHub spécifié par l’employeur pour développer une page. Il a découvert que le projet contenait du code malveillant. En effet, le fichier logo.png du projet semblait être une image, mais contenait en réalité du code exécutable, qui était déclenché par le fichier config-overrides.js, avec l’intention de voler la Clé privée des cryptoactifs de l’utilisateur. Evada a indiqué que ce code malveillant envoie des requêtes à des URL spécifiques, télécharge des fichiers de chevaux de Troie et les configure pour un démarrage automatique, présentant une dissimulation et un danger très élevés. L’administrateur de V2EX, Livid, a déclaré que des comptes impliqués avaient été suspendus, et GitHub a également supprimé les dépôts malveillants concernés. Plusieurs utilisateurs ont commenté que ce type de nouvelle méthode de fraude ciblant les programmeurs est extrêmement trompeur, et ont averti les développeurs de rester vigilants lors de l’exécution de projets dont la source est inconnue.