Le 31 juillet, la société de sécurité Check Point a déclaré que ses chercheurs avaient récemment découvert une activité malveillante à grande échelle appelée JSCEAL, dans laquelle des attaquants utilisaient des fichiers JavaScript compilés via la plateforme Node.js pour attaquer les utilisateurs de cryptomonnaies. Cette campagne est active depuis mars 2024, et les attaquants incitent les utilisateurs à télécharger et à installer des programmes malveillants se faisant passer pour près de 50 applications de trading de cryptomonnaies populaires via de fausses publicités.

Au premier semestre 2025, environ 35 000 publicités malveillantes ont été diffusées, obtenant des millions d'impressions rien que dans l'Union européenne. Le processus d'attaque est divisé en plusieurs couches et possède de fortes capacités anti-détection, capables de voler les informations d'identification des utilisateurs, les wallets et d'autres informations sensibles, et possède des fonctions telles que le contrôle à distance, l'enregistrement des frappes et le détournement du trafic du navigateur. L'étude souligne que le taux de détection de ce programme malveillant est extrêmement faible et que certaines variantes n'ont pas été reconnues par les principaux logiciels antivirus pendant longtemps, rappelant aux utilisateurs d'être vigilants et d'éviter de télécharger des applications de cryptomonnaies via des canaux non officiels.