بحسب كاسبرسكي، يستهدف إطار عمل برمجي خبيث جديد يُسمى OkoBot مستثمري العملات الرقمية عبر الهندسة الاجتماعية وتطبيقات GitHub مُتَسَرِّبة (مُزوَّرة) منذ يناير 2026. يمكن للبرمجية الخبيثة سرقة ملفات محافظ العملات الرقمية وبيانات المتصفح ومعلومات اعتماد المستخدم، وإدخال امتدادات خبيثة لاعتراض نوافذ المحفظة والاستيلاء على الأصول.
على نحوٍ منفصل، كشفت SlowMist عن حملة خبيثة أخرى تستغل فرص عمل مزيفة على LinkedIn لاختراق مطوري Web3. ينتحل المهاجمون صفة مسؤولي التوظيف عبر مستودعات GitHub احتيالية، ويخدعون المطورين لدفعهم إلى سحب التعليمات البرمجية وتثبيت التبعيات، ما يؤدي إلى سرقة مفاتيح المشاريع أو بيانات اعتماد السحابة أو امتدادات المحفظة.