Según Kaspersky, un nuevo framework de malware llamado OkoBot está atacando a inversores cripto mediante ingeniería social y aplicaciones de GitHub modificadas con troyanos desde enero de 2026. El malware puede robar archivos de billeteras cripto, datos del navegador, credenciales de usuario e inyectar extensiones maliciosas para interceptar las ventanas de la billetera y robar activos.
Por separado, SlowMist desveló otra campaña maliciosa que explota ofertas de empleo falsas en LinkedIn para infiltrarse en desarrolladores Web3. Los atacantes se hacen pasar por reclutadores con repositorios de GitHub fraudulentos, engañan a los desarrolladores para que descarguen código e instalen dependencias, lo que termina en el robo de claves de proyectos, credenciales de la nube o extensiones de billetera.