За даними Kaspersky, новий фреймворк для зловмисного ПЗ під назвою OkoBot атакує інвесторів у криптовалюту, використовуючи соціальну інженерію та троянізовані застосунки на GitHub, починаючи з січня 2026 року. Зловмисне ПЗ може викрадати файли гаманців криптовалюти, дані браузера, облікові дані користувачів, а також ін’єктувати шкідливі розширення, щоб перехоплювати вікна гаманця та красти активи.
Окремо SlowMist розкрила ще одну зловмисну кампанію, що використовує фальшиві вакансії в LinkedIn для проникнення до Web3-розробників. Атакувальники видають себе за рекрутерів із шахрайськими репозиторіями на GitHub, змушуючи розробників завантажувати код і встановлювати залежності, що призводить до крадіжки ключів проєктів, хмарних облікових даних або розширень гаманця.