أفاد موقع Bits.media بأن باحثين أمنيين في Kaspersky اكتشفوا برمجية خبيثة OkoBot، كانت نشطة منذ أكثر من عام وتستخدم قرابة 20 وحدة لسرقة عبارات البذور (seed phrases) ومعلومات الاعتماد الخاصة بمحافظ العملات الرقمية. يستخدم المهاجمون تقنيات الهندسة الاجتماعية ClickFix لخداع المستخدمين وتشجيعهم على تشغيل أوامر ضارة، كما يوزعون البرمجية الخبيثة عبر مستودعات GitHub مموهة على أنها أدوات شرعية مثل SQL Server Management Studio. تشمل الوحدات الرئيسية SeedHunter، التي تحقن محافظ أجهزة مثل Trezor وLedger وتعرض واجهات استرداد مزيفة؛ وMC Keylogger، الذي يسجل نشاط لوحة المفاتيح وحافظة النسخ (clipboard)؛ وOkoSpyware، الذي يتتبّع كلمات مرور المحافظ ويسجل فيديو للنوافذ. بمجرد حصول المهاجمين على عبارات البذور، يكتسبون سيطرة كاملة على الأصول المشفرة الخاصة بالضحايا.
يوجد معظم الضحايا موزعين في البرازيل وفيتنام وكندا والمكسيك وتركيا. وقد نفّذ المهاجمون حظرًا جغرافيًا على عناوين IP في روسيا ودول رابطة الدول المستقلة.