По данным Kaspersky, новый фреймворк вредоносного ПО под названием OkoBot нацелен на инвесторов в криптовалюты посредством социальной инженерии и вредоносных (троянизированных) приложений GitHub с января 2026 года. Вредоносное ПО может похищать файлы криптокошельков, данные браузера, учетные данные пользователей, а также внедрять вредоносные расширения, чтобы перехватывать окна кошельков и воровать активы.
Отдельно SlowMist раскрыла другую вредоносную кампанию, использующую фейковые вакансии в LinkedIn для проникновения в среду Web3-разработчиков. Злоумышленники выдают себя за рекрутеров, используя поддельные репозитории GitHub: они подталкивают разработчиков вытягивать код и устанавливать зависимости, что приводит к краже ключей проектов, облачных учетных данных или расширений кошельков.