Qu’est-ce que le cryptojacking ?

Le cryptojacking, c’est quand un site utilise secrètement le CPU de vos visiteurs pour miner de la cryptomonnaie. L’attaquant empoche les récompenses. Vos visiteurs récoltent chaleur, batterie qui se vide et page lente.

Mes visiteurs vont-ils le remarquer ?

Oui, tôt ou tard. Les utilisateurs mobiles le voient en premier : le téléphone chauffe et la batterie tombe vite. Sur desktop, on entend le ventilateur s’emballer et le navigateur ramer. Les deux partent.

Le mineur affecte-t-il mon serveur ?

Indirectement. Le minage tourne dans le navigateur des visiteurs, donc votre CPU serveur est tranquille. Mais le loader est un malware : le vecteur d’entrée qui l’a planté peut servir à bien pire.

Comment ça s’est retrouvé sur mon site ?

Presque toujours via une extension vulnérable ou des identifiants admin volés. Le rapport nomme le chemin exact.

// PHARMA HACK · WORDPRESS · NETTOYÉ

WordPress cryptojacking removal.

Un cryptojacker est un minuscule script qui transforme le navigateur de chaque visiteur en plate-forme de minage. On trouve le loader, on le supprime, et on ajoute les bons en-têtes pour qu’il ne puisse plus être replanté. Forfait 279 $.

Démarrer un nettoyage → Comment fonctionnent les cryptojackers

§ 01 — MÉCANISME

Vos visiteurs minent de la cryptomonnaie. L’attaquant garde les récompenses.

Un cryptojacker in-browser est un petit JavaScript qui exécute du code de minage WebAssembly dans le navigateur du visiteur. Les ventilateurs s’emballent, les batteries se vident, la page rame — et seul l’attaquant gagne. Les visiteurs mobiles s’en rendent compte en premier.

La plupart des loaders sont injectés dans les fichiers de thème ou dans des lignes autoloaded de wp_options pour s’exécuter sur chaque page. Certains sont hébergés ailleurs et chargés via une seule balise 02 06 07 // A WebWorker pinning the CPU on every page load 08 // is the signature of an in-browser miner.

§ 02 — CE QUE NOUS SUPPRIMONS

Chaque page, une seule liste.

[ TRIAGE DES PLUGINS ]

On charge le site avec un profil de navigateur propre et on surveille l’usage CPU, les requêtes réseau et les instanciations WebAssembly.
[ MINEUR ]

Loaders de mineurs in-browser retirés des fichiers de thème, ressources d’extensions, scripts inline et widgets actifs.
[ BASE DE DONNÉES ]

Charges utiles autoloaded de wp_options nettoyées. Scripts injectés dans wp_posts supprimés.
[ DURCISSEMENT ]

En-têtes Content-Security-Policy ajoutés pour bloquer l’exécution de scripts hors domaine. Intégrité du thème vérifiée.
[ RECHERCHE GOOGLE ]

Réexamen Google Safe Browsing soumis. Indexation demandée dans Search Console pour les URL affectées.
[ RAPPORT ]

Rapport forensique en clair, adapté aux clients, assureurs ou archives.

§ TARIFS

Forfait $279. Une seule fois. Par site.

[ RESCUE ]

$279

FORFAIT · UNIQUE · PAR SITE

Manual cleanup, entry-vector identification, written forensic report.

Démarrer un nettoyage →

[ SHIELD ]

$29 / mo

PAR SITE · RÉSILIATION À TOUT MOMENT

Surveillance continue, durcissement, un nettoyage par an inclus.

Se protéger →

Part of threatover's broader security practice. Penetration testing, bug bounty consulting, triage, and security advisory.

Voir tous les services →

Start an engagement.

Send the scope, stack, and timeline. You get a written proposal with a fixed quote.

Contact →