Badacze Malwarebytes opisują kampanie, w których NWHStealer trafia do użytkowników Windows pod postacią fałszywego Proton VPN, narzędzi sprzętowych i modyfikacji do gier. Po instalacji malware kradnie hasła, dane przeglądarek i informacje o portfelach kryptowalutowych.