Menurut Bits.media, peneliti keamanan Kaspersky menemukan malware OkoBot yang telah aktif selama lebih dari satu tahun dan menggunakan sekitar 20 modul untuk mencuri frasa seed dompet mata uang kripto serta kredensial. Para penyerang menggunakan teknik rekayasa sosial ClickFix untuk menipu pengguna agar menjalankan perintah berbahaya dan menyebarkan malware melalui repositori GitHub yang disamarkan sebagai alat yang sah, seperti SQL Server Management Studio. Modul-modul utamanya mencakup SeedHunter, yang menyusupkan dompet perangkat seperti Trezor dan Ledger serta menampilkan antarmuka pemulihan palsu; MC Keylogger, yang merekam aktivitas keyboard dan clipboard; serta OkoSpyware, yang melacak kata sandi dompet dan merekam video jendela. Setelah penyerang memperoleh frasa seed, mereka mendapatkan kontrol penuh atas aset kripto korban.
Sebagian besar korban berada di Brasil, Vietnam, Kanada, Meksiko, dan Turki. Para penyerang juga menerapkan pemblokiran geografis pada alamat IP di Rusia dan negara-negara Persemakmuran Negara Merdeka (Commonwealth of Independent States).