Pudgy Penguins A Lancé Un Nouveau Jeu. Des Arnaqueurs Crypto Ont Créé Une Fausse Version

En résumé

• Un faux site se fait passer pour le nouveau jeu Pudgy World.
• L’attaque imite les interfaces de portefeuilles crypto pour voler des mots de passe.
• Le phishing est un vecteur majeur de cybercriminalité, avec plus de 193 000 plaintes auprès du FBI en 2024.

Un site web frauduleux se faisant passer pour le nouveau jeu en ligne Pudgy World de Pudgy Penguins tente de voler les mots de passe des portefeuilles de cryptomonnaies, a averti le cabinet de cybersécurité Malwarebytes Labs mardi. Dans un rapport, Malwarebytes indique que l’opération de phishing, pudgypengu-gamegifts[.]live, utilise des copies très convaincantes des interfaces de portefeuilles crypto pour tromper les utilisateurs. « Certaines fonctionnalités sont liées aux objets de collection numériques et aux éléments en jeu stockés dans des portefeuilles de cryptomonnaies. Cela signifie que le jeu officiel demande parfois aux joueurs de connecter un portefeuille crypto pour vérifier la propriété d’objets ou débloquer des fonctionnalités supplémentaires », a déclaré Stefan Dasic, ingénieur principal en recherche sur les malwares et auteur du rapport.

Un site de phishing se faisant passer pour le nouveau jeu Pudgy World vole des mots de passe crypto.https://t.co/9Z1CsYdFhu

— Malwarebytes (@Malwarebytes) 18 mars 2026

« Le site de phishing abuse de cette étape : lorsque un visiteur sélectionne son portefeuille sur ce faux site, il affiche ce qui semble être l’écran de déverrouillage de ce portefeuille. Pour l’utilisateur, cela ressemble en tout point au vrai logiciel de portefeuille crypto en lequel il a confiance. » Le phishing reste l’une des formes de cybercriminalité les plus répandues. Selon le Centre de plainte pour la criminalité sur Internet du FBI (IC3), les escroqueries par phishing et spoofing ont représenté 193 407 plaintes en 2024, avec des pertes déclarées dépassant 70 millions de dollars. On ne sait pas si quelqu’un est déjà tombé victime de ce site en particulier. Qu’est-ce que Pudgy World ? L’avertissement intervient une semaine après le lancement de Pudgy World, un jeu en ligne gratuit lié à la marque NFT Pudgy Penguins. Le jeu, lancé le 10 mars, permet aux joueurs d’explorer un monde virtuel, de personnaliser des avatars de pingouins et de réaliser des quêtes, avec certaines fonctionnalités nécessitant la connexion de portefeuilles de cryptomonnaies. Pudgy Penguins a connu une croissance rapide depuis son acquisition par le PDG Luca Netz en 2022, passant d’une collection NFT à une marque grand public avec des produits de détail, un jeu mobile et maintenant un jeu basé sur navigateur. La collection a un prix plancher de 4,25 ETH (9 500 dollars), selon CoinGecko, bien en dessous de 88,3 % de son sommet de décembre 2024 à 36,33 ETH.

Dasic a indiqué que le calendrier de la campagne semble délibéré, coïncidant avec le lancement du jeu et l’afflux de nouveaux utilisateurs peu familiers avec les pratiques de sécurité des portefeuilles crypto. « La gamme de portefeuilles ciblés est également significative. La campagne ne laisse presque aucun angle mort », a-t-il déclaré. « Que la victime détienne de l’Ethereum, Solana ou des actifs multi-chaînes, une contrefaçon convaincante l’attend. » « Concevoir 11 falsifications d’interfaces utilisateur spécifiques à chaque portefeuille n’est pas une tâche triviale », a ajouté Dasic, soulignant que cela suggère soit un « acteur de menace bien doté » soit la réutilisation d’un kit de phishing commercial conçu pour ce type d’attaque. De telles tactiques sont courantes dans les escroqueries liées à la crypto, où les attaquants enregistrent des domaines qui ressemblent étroitement à des sites légitimes ou manipulent des annonces de recherche pour apparaître authentiques. Par exemple, des fraudeurs peuvent envoyer des e-mails officiels en utilisant un domaine avec « .qov » au lieu de « .gov » dans l’espoir que les gens ne remarquent pas la légère différence. Pudgy Penguins a déjà été ciblé par des escrocs utilisant de faux sites. En décembre 2024, la société de sécurité blockchain Scam Sniffer a averti que des attaquants utilisaient des annonces Google malveillantes pour usurper l’identité des plateformes Pudgy Penguins et tromper les utilisateurs en leur faisant connecter leurs portefeuilles. Les utilisateurs sont conseillés d’accéder uniquement aux sites officiels via des favoris de confiance, d’éviter de cliquer sur des liens provenant des réseaux sociaux ou de messages directs, et de se rappeler que les demandes légitimes de mot de passe de portefeuille n’apparaissent pas dans le contenu des pages web. Malwarebytes recommande également de changer immédiatement les mots de passe des portefeuilles si des identifiants ont été saisis sur un site suspect, et de considérer le transfert des fonds vers un nouveau portefeuille en cas de suspicion de compromission.

Pudgy Penguins a été contacté pour un commentaire.