Я тут писал про вирус, позволяющий его хозяину майнить криптовалюту Monero посредством броузеров посетителей зараженного сайта (оригинал).
GitHub в качестве базы распространения.
В один из файлов шаблона темы Вордпресса внедряется зашифрованный код, вроде того как на первой картинке. После декодирования он выглядит как на следующих трех картинках (см. источник). Это CoinHive Injection. Зловредный код выходит на поверхность только для живых посетителей и прячется от ботов, поисковиков и прочих бесполезных для него визитеров. На четвертой картинке представлен сторонний js код, используемый для заражения.
Больше технических подробностей — в оригинальной статье.
Источник: VK.com