Theo Bits.media, các nhà nghiên cứu bảo mật của Kaspersky đã phát hiện phần mềm độc hại OkoBot, đã hoạt động hơn 1 năm và sử dụng khoảng 20 mô-đun để đánh cắp cụm từ hạt giống (seed phrase) của ví tiền điện tử cùng các thông tin đăng nhập. Kẻ tấn công sử dụng kỹ thuật lừa đảo xã hội ClickFix để đánh lừa người dùng chạy các lệnh độc hại và phát tán phần mềm độc hại thông qua các kho lưu trữ GitHub được ngụy trang như các công cụ hợp pháp, chẳng hạn như SQL Server Management Studio. Các mô-đun chính bao gồm SeedHunter: mô-đun này tiêm vào các ví phần cứng như Trezor và Ledger và hiển thị giao diện khôi phục giả; MC Keylogger, ghi lại hoạt động bàn phím và bảng nhớ tạm (clipboard); và OkoSpyware, theo dõi mật khẩu của ví và ghi lại video trong cửa sổ. Khi kẻ tấn công có được cụm từ hạt giống, chúng sẽ giành quyền kiểm soát hoàn toàn đối với tài sản crypto của nạn nhân.
Phần lớn nạn nhân được ghi nhận tại Brazil, Việt Nam, Canada, Mexico và Thổ Nhĩ Kỳ. Kẻ tấn công đã triển khai biện pháp chặn theo địa lý đối với các địa chỉ IP ở Nga và các nước thuộc Khối các Quốc gia Độc lập (Commonwealth of Independent States).