Pudgy World est contrefait ! Malwarebytes avertit que les sites de phishing volent les mots de passe des portefeuilles

La société de cybersécurité Malwarebytes Labs a publié mardi une alerte urgente concernant un faux site web utilisant le domaine « pudgypengu-gamegifts[.]live », qui se fait passer pour le jeu de navigateur Pudgy World, lancé le 10 mars, dans le but de voler les mots de passe des portefeuilles de cryptomonnaies.

Méthodes sophistiquées de phishing : reproduction de 11 interfaces de portefeuilles

Stefan Dasic, ingénieur principal en logiciels malveillants chez Malwarebytes, explique en détail la logique de conception de cette attaque dans son rapport. Certaines fonctionnalités de Pudgy World (comme la vérification de la propriété d’un NFT ou le déblocage de contenu de jeu) nécessitent que les joueurs connectent leur portefeuille cryptographique. Les attaquants exploitent cette étape légitime pour tromper :

« Le site de phishing tire parti de ce processus. Lorsqu’un visiteur choisit son portefeuille sur le faux site, la page affiche une interface qui semble déverrouiller le portefeuille lui-même. Pour l’utilisateur, cela ressemble exactement au logiciel de portefeuille cryptographique authentique et familier qu’il utilise et en auquel il fait confiance. »

Dasic souligne également que cette attaque est d’un niveau technique remarquable — les attaquants ont créé des interfaces UI falsifiées pour 11 types de portefeuilles différents, rendant presque impossible pour un utilisateur de deviner quel portefeuille est ciblé. Qu’il s’agisse d’Ethereum, de Solana ou d’actifs multi-chaînes, tous peuvent recevoir une interface de déverrouillage de portefeuille hautement réaliste. Il estime que la fabrication de 11 interfaces UI falsifiées « n’est pas une tâche facile », ce qui indique que derrière se cache probablement un « acteur de menace bien doté en ressources » ou l’utilisation répétée d’un kit d’outils de phishing commercial conçu spécifiquement pour ce type d’attaque.

Contexte de la marque Pudgy World et risques de sécurité croisés

Pudgy World est un jeu de navigateur gratuit basé sur la marque Pudgy Penguins NFT, permettant aux joueurs d’explorer un univers virtuel, de personnaliser leur pingouin et de réaliser des missions. Depuis l’acquisition par le CEO Luca Netz en 2022, Pudgy Penguins s’est étendu d’une simple collection NFT à une marque de consommation englobant produits de détail, jeux mobiles et jeux web.

Cependant, Pudgy Penguins a déjà été victime d’attaques similaires. En décembre 2024, la société de sécurité blockchain Scam Sniffer a alerté que des attaquants avaient utilisé de fausses publicités Google pour se faire passer pour la plateforme Pudgy Penguins, incitant les utilisateurs à connecter leur portefeuille. Les chercheurs indiquent que ce type d’attaque survient souvent lors d’événements majeurs liés à des projets NFT très connus, où l’afflux de nouveaux utilisateurs crée une fenêtre d’opportunité idéale pour les attaques.

Recommandations de protection : comment éviter d’être victime

Malwarebytes recommande aux utilisateurs de Pudgy World de suivre ces mesures de sécurité spécifiques :

• Accéder au site officiel uniquement via les favoris : évitez d’utiliser des liens provenant de moteurs de recherche ou de réseaux sociaux.
• Faire attention aux demandes de mot de passe de portefeuille : un vrai message de mot de passe ne s’affichera jamais dans le contenu de la page ; si la page demande d’entrer le mot de passe dans le navigateur, il faut arrêter immédiatement.
• Ne pas cliquer sur les liens dans les messages privés ou sur les réseaux sociaux : les liens officiels des projets cryptographiques doivent provenir des comptes officiels Twitter/X ou Discord, épinglés.
• Réagir rapidement si un mot de passe a été saisi sur un site suspect : changer immédiatement le mot de passe du portefeuille ; si l’on suspecte un vol, transférer les actifs vers une nouvelle adresse de portefeuille.

Questions fréquentes

Comment vérifier que je visite le site officiel de Pudgy World et non un faux ?

Les méthodes de vérification incluent : comparer le domaine avec celui du site officiel de Pudgy Penguins (attention à tout caractère supplémentaire ou trait d’union) ; obtenir le lien du jeu directement via les canaux officiels Twitter/X ou Discord ; et utiliser un favori pour accéder à l’adresse officielle confirmée, plutôt que de rechercher à chaque fois via un moteur de recherche.

Pourquoi les attaquants agissent-ils immédiatement après le lancement d’un nouveau jeu ?

Stefan Dasic de Malwarebytes explique que le moment de l’attaque est délibérément choisi — lors du lancement d’un nouveau jeu, beaucoup de nouveaux utilisateurs découvrent les portefeuilles cryptographiques et ne sont pas encore familiarisés avec la nécessité de connecter leur portefeuille, ce qui les rend plus vulnérables. Par ailleurs, la hausse soudaine de recherches pour le nouveau jeu augmente la probabilité que des sites frauduleux apparaissent en haut des résultats.

Les données du FBI montrent que les pertes dues aux arnaques par phishing en 2024 ont dépassé 70 millions de dollars. Quel risque cela représente-t-il pour les utilisateurs de cryptomonnaies ?

Selon le centre de plainte contre la criminalité en ligne du FBI (IC3), en 2024, 193 407 plaintes pour phishing et escroqueries ont été enregistrées, avec des pertes déclarées de plus de 70 millions de dollars, sans compter de nombreux cas non signalés. Les utilisateurs de cryptomonnaies sont exposés à un risque accru en raison de l’anonymat et de l’irréversibilité des transactions : une fois que des actifs sont transférés à une adresse contrôlée par un attaquant, il est presque impossible de les récupérer.