新しく立ち上げられたPudgy Worldブラウザゲームに成りすましたフィッシングサイトが、説得力のあるロゴと配色スキームをはるかに超えた手法で暗号資産ユーザーをターゲットにしています。
Pudgy Worldは、Pudgy Penguins NFTブランドを中心に構築された無料プレイブラウザゲームです。プレイヤーは仮想世界を探索し、ペンギンアバターをカスタマイズし、クエストを完了します。しかし、一部の機能は暗号資産ウォレットに保存されたデジタルコレクティブルとゲーム内アイテムに関連しています。
つまり、公式ゲームはプレイヤーに暗号ウォレットの接続を要求して、アイテムの所有権を確認したり、追加機能をアンロックしたりすることがあります。フィッシングサイトはそのステップを悪用します。訪問者がこの偽サイトでウォレットを選択すると、そのウォレット自体のアンロック画面のように見えるものが表示されます。ユーザーにとっては、彼らがすでに信頼している実際の暗号ウォレットソフトウェアのように見えます。
「ウォレットを接続して開始する」
Pudgy Penguinsブランドはここ数ヶ月で異例の成長を遂げました。2022年にCEOのLuca Netzが買収して復活させたペンギンNFTプロジェクトは、Web3で最も説得力のあるクロスオーバーストーリーの1つを着実に構築してきました。ウォルマートとターゲットの棚に置かれた物理的なぬいぐるみ、100万ダウンロードを超えたPudgy Partyというモバイルゲーム、そして2026年3月10日にライブになったPudgy Worldというブラウザベースのゲームで、即座にバイラル的な注目を集めました。
公式ゲームはプレイヤーに暗号ウォレットの接続を要求して開始します。そのテキスト「ウォレットを接続して開始する」は現在、Pudgy Penguinsとは何の関係もないサイトに表示されています。
問題のドメインはpudgypengu-gamegifts[.]liveです。これはPudgy Penguinsの背後にある企業であるIgloo Inc.には全く提携していません。このサイトは公式ゲームの氷のような背景アートワーク、Pudgy Penguinsロゴ、およびブランドの特徴的な青と白の配色を、新しいゲーム発売の興奮の中で到着したユーザーが明らかな理由を疑う理由がないほどの忠実性で再現しています。
11個のウォレット、11個の説得力のある偽造品
接続ボタンをクリックすると、ダークテーマのポップアップウィンドウが開きます。これは実際のPudgy Worldサイトがウォレット接続を処理するために使用するオープンソースライブラリであるReown WalletConnect接続キットに似ているように構築されています。モーダルには上部に「reown」と「Manual Kit」のタブラベルも表示され、本物のコンポーネントと一致しています。
内部は、サポートされているウォレットのリストです。
MetaMask(「推奨」と表示)、Trust Wallet、Coinbase Wallet、Ledger、Trezor Wallet、Phantom Wallet、Rabby Wallet、OKX Wallet、Magic Eden、Solflare、およびUniswap Wallet。
次のステップで攻撃は技術的に興味深くなります。
ソフトウェアウォレットを選択しても、ユーザーを別のページにリダイレクトしたり、外部サイトを開いたりすることはありません。代わりに、ページはウォレットの実際のブラウザ拡張機能ロック解除画面のように見えるように設計されたオーバーレイを表示します。オーバーレイはブラウザビューポートの端に表示され、実際の拡張機能ポップアップが表示される場所に表示されます。
ハードウェアウォレットのフローの動作は異なります。Trezor Walletを選択すると、コーナーオーバーレイではなく、Trezor Connectインターフェースをミミックしたセンター画面ダイアログが開きます。どちらの場合も、結果は、ユーザーがインストールされた自分のソフトウェアを見ていると信じていますが、実際には攻撃者に制御されたウェブページ要素を見ています。
偽造品は実際の拡張機能が存在する場所と全く同じ場所に配置されます
リスト上のすべてのブラウザ拡張機能ウォレットについて、フィッシングサイトは、正しいロゴ、配色、ボタンレイアウト、および文言を使用して、実際の拡張機能の視覚的アイデンティティに一致するようにビルドされたロック解除画面をレンダリングします。
以下のスクリーンショットは、偽造品と本物の拡張機能を示しています。違いは、それらを探していない人には見えません。
ハードウェアウォレットユーザーは免除されておらず、Trezorのターゲット化は特に有効です。
Trezorデバイスは通常、暗号資産に十分な投資をしている人が所有しています。つまり、ユーザーはより高い価値のアカウントを保有している可能性があります。
フィッシングサイトでTrezor Walletを選択すると、Trezor Connect Bridge インターフェースを密接にミミックするダイアログがトリガーされます。同時に、ブラウザはネイティブUSBデバイスのアクセス許可プロンプトを表示します。オペレーティングシステム自身のダイアログです。WebUSB APIコールによってトリガーされます。「pudgypengu-gamegifts.liveが接続したい」と表示されます。
Trezorが接続されていない場合、プロンプトは「互換性のあるデバイスが見つかりません」と表示されていますが、シーケンスは本物のハードウェアハンドシェイクのように見えるように設計されています。
この時点でTrezorをプラグインし、USBアクセス許可を承認するユーザーは、フィッシングサイトにデバイスブリッジへのアクセスを許可しました。
手元にデバイスがない人のために、ダイアログは別のオプションを提供します。「別の接続方法を使用する」。そのパスは、最も多くのダメージが発生する場所です。ハードウェアフローを機能させることができず、手動オプションにフォールバックするユーザーは、シードフレーズ、ウォレット内の全てのマスターキーを直接攻撃者が制御するフィールドに入力するよう求められるわずか1ステップ手前です。
研究者に対して無反応を装うページ
フィッシングページは一見したより慎重です。
サイトに組み込まれたのは難読化されたJavaScriptローダーです。その本当の内容は圧縮され、複数の層のエンコーディングの背後に隠されており、何か目に見えることをする前に一連のチェックを実行します。
まず、セキュリティ研究者とサンドボックスが疑わしいページを大量に分析するために使用する自動化ツールの一種でブラウザが駆動されているかどうかをテストします。これを検出すると、それは静かに停止し、ページはクリーンに見えます。
次に、グラフィックスハードウェア識別子を読み込んで、仮想マシン内で実行されているかどうかを判断します。これは別の一般的な分析環境です。
実際のユーザーが存在することに満足したら初めて、攻撃者のサーバーから2番目のより大きなペイロードをリクエストします。そのペイロードには、認証情報盗難の責任があるコードが含まれています。
その要求にも無事が含まれています。サーバー応答が500 KB未満の場合(既知の悪質なドメインに対してセキュリティベンダーが提供する可能性のあるプレースホルダー応答)、ローダーはそれを破棄して何もしません。
すべてのこれの実際の結果は、自動化されたスキャンツールが初期ページを有益と評価する可能性があるということです。なぜなら、彼らのインフラストラクチャでは、それは1つのように行動するからです。悪意のある機能は、攻撃者のサーバーが訪問者が対象に値すると判断した場合にのみロードされます。
このキャンペーンがなぜPudgyプレイヤーをターゲットにするのか
タイミングは意図的なようです。Pudgy Worldは2026年3月10日にライブになり、フィッシングキャンペーンは同じウィンドウの周辺で活動していたようです。初めてゲームにやってくる新しいプレイヤーは、彼らが以前に経験したことのないWeb3オンボーディングフローを歩んでいます。
公式サイトの正当な「ウォレットを接続する」ステップは、この動作が通常であることをユーザーに教えます。フィッシングサイトは、経験がそれに異議を唱える前に、その期待を悪用します。
ターゲットされるウォレットの範囲も重要です。キャンペーンはほぼすべてのウォレットの盲点を残します。被害者がイーサリアム、ソラナ、またはマルチチェーンアセットを保有しているかどうかに関わらず、彼らを待つ説得力のある偽造品があります。11個のウォレット固有のUI偽造品を構築することは些細なことではありません。それは、十分な資源を持つ脅威アクターか、より可能性が高いのは、このクラスの攻撃のために正確に構築された商用フィッシングキットの再利用を指しています。
影響を受けた可能性がある場合の対処方法
暗号フィッシングキャンペーンは長い間、偽のエアドロップと偽のMetaMaskページに依存してきました。このキャンペーンは、ウォレットのロック解除画面をどの程度正確に模倣するか、実際の拡張機能ポップアップが表示される場所に正確にプロンプトを配置し、ユーザーの筋肉記憶を悪用するため、目立ちます。
攻撃はまた、Pudgy Worldの立ち上げに便乗しています。Web3製品がより幅広い聴衆に到達するにつれて、ウォレットセキュリティに不慣れなユーザーをターゲットにする攻撃者を引き付けます。
1つのルールはまだ保持されます。ウェブサイトが実際のブラウザ拡張機能ロック解除画面を表示することはできません。
- このサイトにMetaMask、Coinbase Wallet、または他のソフトウェアウォレットのパスワードを入力した場合は、拡張機能をアンロックして通常に進み、設定に移動して、パスワードをすぐに変更してください。シードフレーズがどのウェブサイトでも使用されたことのない新しいウォレットアドレスへのアセットの転送を検討してください。
- Trezorのために、USBデバイスのアクセス許可プロンプトを承認した場合は、デバイスを切断し、Trezor Suite接続履歴を確認してください。WebUSB接続だけでは、シードフレーズは公開されていませんが、悪意のあるページがブリッジと通信することができます。ブラウザのサイト設定でアクセス許可をすぐに取り消してください。
- 公式Pudgy Penguinsサイト(pudgypenguins.com)と公式ゲームURLをブックマークしてください。そのブックマークから直接それにナビゲートし、Discord、Twitter、またはダイレクトメッセージのリンクからではありません。
- 既知のフィッシングドメインをフラグで立てるブラウザ拡張機能をインストールしてから、それとやり取りしてください。Malwarebytes Browser Guardがこのドメインをブロックします。
- このルールを思い出させてください。ウォレットのロック解除画面は常にウィンドウの最上部のバーに表示され、ページ自体の内部には表示されません。ページコンテンツ内にウォレットのパスワードプロンプトを表示しているように見えるページは、フィッシングサイトです。
侵害の指標(IOCs)
ドメイン
pudgypengu-gamegifts[.]live
翻訳元: https://www.malwarebytes.com/blog/scams/2026/03/fake-pudgy-world-site-steals-your-crypto-passwords
