PANews는 7월 28일 V2EX 웹사이트에 따르면, 사용자 evada가 최근 지원 과정에서 채용 담당자가 지정한 GitHub 프로젝트 템플릿을 사용하여 페이지를 개발해 달라는 요청을 받았으며, 해당 프로젝트에 악성 코드가 있음을 발견했다고 게시했다고 보도했습니다. 구체적으로, 해당 프로젝트의 logo.png 파일은 겉보기에는 그림처럼 보이지만, 실제로는 실행 가능한 코드를 포함하고 있으며, config-overrides.js 파일을 통해 실행되도록 설정되어 사용자의 로컬 암호화폐 개인 키를 탈취하려는 의도를 가지고 있습니다.

evada는 이 악성 코드가 특정 URL로 요청을 전송하고 트로이 목마 파일을 다운로드한 후 부팅 시 자동으로 실행되도록 설정하는데, 이는 매우 은밀하고 유해하다고 지적했습니다. V2EX 관리자 Livid는 관련 계정이 정지되었으며 GitHub도 관련 악성 저장소를 삭제했다고 밝혔습니다. 많은 사용자들은 프로그래머를 노리는 이러한 새로운 유형의 사기 수법이 매우 혼란스럽다고 지적하며, 개발자들이 출처를 알 수 없는 프로젝트를 실행할 때 주의를 기울여야 한다고 강조했습니다.