De acordo com a Kaspersky, um novo framework de malware chamado OkoBot está a visar investidores em criptomoeda através de engenharia social e de aplicações do GitHub, com trojan incorporado desde janeiro de 2026. O malware consegue roubar ficheiros de carteiras de criptomoeda, dados do browser, credenciais de utilizador e injectar extensões maliciosas para interceptar janelas da carteira e furtar ativos.
Em paralelo, a SlowMist revelou outra campanha maliciosa que explora oportunidades de emprego falsas no LinkedIn para infiltrar programadores Web3. Os atacantes passam-se por recrutadores com repositórios GitHub fraudulentos, levando os programadores a descarregar código e a instalar dependências, o que resulta no roubo de chaves de projetos, credenciais de cloud ou extensões de carteira.