Wu disse que foi informado de que o diretor de segurança da informação da SlowMist, 23pds, disse que o grupo Lazarus está atualmente contatando alvos na indústria de criptomoedas por meio do LinkedIn e roubando permissões ou ativos de funcionários por meio de malware. Primeiro, eles entram em contato com os gerentes da empresa alvo ou com o pessoal de RH através do LinkedIn e afirmam falsamente que estão procurando emprego como desenvolvedor React/Blockchain. O invasor então alegará ser um candidato experiente e solicitará acesso ao seu repositório para executar o código e ver se ele é bom, quando na verdade o repositório contém trechos de código malicioso. Após a execução, ele tenta roubar o máximo de dados possível do dispositivo do usuário e, em seguida, envia-os para um servidor controlado pelo invasor.