L’intelligence des acteurs malveillants mise à profit pour abuser les utilisateurs est sans limite. Et cela peut prendre la forme d’une utilisation abusive de la capacité de calcul d’un ordinateur pour miner des cryptomonnaies. Dans la plupart des cas, il s’agit d’une version axée sur l’anonymat, comme le Monero (XMR). Mais cette pratique peut passer sous les radars durant de nombreuses années, comme l’a démontré la structure de cybersécurité Check Point Research (CPR). Le tout en passant par le téléchargement d’applications très populaires comme Google Translate.
Au programme Le malware Nitrokod, le cryptojacking expliqué, et ce qui a changé en 2026.
Cela porte le nom de cryptojacking ou encore de cryptomining, mais le résultat est le même dans les deux cas. C’est-à-dire la prise en otage d’une partie des capacités de calcul d’un ordinateur privé afin de miner des cryptomonnaies en toute discrétion. Une activité qu’il est possible de repérer du fait d’un ralentissement important de son poste de travail. Mais dont certaines versions savent se rendre plus invisibles encore.
Le cryptojacking, qu’est-ce que c’est ?
Le cryptojacking détourne la puissance de calcul d’une machine pour effectuer du mining à l’insu de son propriétaire. Le profit, en cryptomonnaie, file vers l’attaquant pendant que la victime règle la facture d’électricité et subit l’usure du matériel.
Le Monero reste la cible privilégiée. Son protocole en proof-of-work repose sur l’algorithme RandomX, optimisé pour les processeurs grand public, là où le Bitcoin exige des machines spécialisées. À cela s’ajoutent les propriétés de confidentialité de Monero, qui compliquent le traçage des fonds détournés.
Nitrokod – Un malware infiltré dans des apps populaires
Cette révélation émane de la société de cybersécurité Check Point Research (CPR). Elle met en cause un fournisseur de logiciels turcophone, actif depuis 2019. Ce dernier se vantant de proposer des « logiciels gratuits et sûrs ». Alors que dans les faits, il s’agirait de versions malveillantes d’applications populaires comme Google Translate, un MP3 Download Manager ou une version présentée comme desktop de YouTube Music, agrémentées d’un cheval de Troie destiné à miner la cryptomonnaie Monero.
Le logiciel de cryptomining ainsi installé se nomme Nitrokod. Et, selon les données de Check Point Research, il a potentiellement infecté des milliers de machines réparties dans 11 pays différents. Car les applications concernées étaient présentes sur des boutiques comme Softpedia et Uptodown. Avec des notes parfois surréalistes, comme la version de bureau de Google Translate qui affichait un improbable 9,3. Alors même que cette version n’avait pas été développée par Google.
Une discrétion redoutable
La spécificité de Nitrokod tient à sa capacité à patienter avant de déclencher le minage de Monero. Selon Check Point, le malware ne s’exécute qu’environ un mois après l’installation du logiciel piégé. La chaîne d’infection s’étale sur plus de quinze jours, via des tâches planifiées qui désactivent certaines protections et nettoient les journaux.
Ce délai n’éveille pas les soupçons des victimes, dont les ordinateurs sont parfois infectés depuis des mois, voire des années. La charge finale repose sur XMRig, un mineur Monero open source légitime détourné de son usage initial. C’est le composant le plus fréquemment réutilisé par les campagnes de cryptojacking.
Depuis : le cryptojacking repart de plus belle en 2026
Le phénomène n’a pas disparu, bien au contraire. Après une accalmie, les chercheurs de G DATA ont observé une résurgence des campagnes XMRig à partir d’avril 2025, dans un contexte de hausse du cours du Monero. La société Trellix a de son côté documenté une campagne dotée d’un module de contrôle assurant un accès durable aux machines compromises.
Les méthodes ont évolué. Les attaquants privilégient désormais les outils déjà présents sur le système, dans une logique de « living-off-the-land » qui complique la détection. Certaines campagnes recourent même à un pilote vulnérable pour désactiver les antivirus avant de lancer le mineur, comme l’a rapporté Infosecurity Magazine. Le périmètre s’élargit aussi aux serveurs Linux exposés et aux infrastructures DevOps.
Comment se protéger du cryptojacking
Quelques réflexes limitent fortement le risque. Ne téléchargez de logiciels que depuis les sites officiels des éditeurs, en vous méfiant des « versions desktop » d’applications qui n’en proposent pas. Un ralentissement inexpliqué, un ventilateur qui s’emballe ou une consommation processeur anormale au repos doivent alerter.
Pour la sécurité de vos fonds, séparez bien navigation et conservation. Un wallet logiciel comme MetaMask reste exposé au poste infecté, tandis qu’un cold wallet matériel type Ledger Nano X isolé les clés. Avant tout achat ou conversion, comparez les montants via notre convertisseur crypto et surveillez le contexte de marché avec la heatmap. Pour aller plus loin sur la confidentialité du jeton ciblé, consultez notre fiche fondamentale Monero et la rubrique Hacks & Sécurité.
Sources
-
HACKS & SÉCURITÉPamStealer vole mots de passe, keychains et wallets crypto
-
HACKS & SÉCURITÉStep Finance : un hack de 21,4 M$ blanchis via Tornado Cash