死鎖：利用Polygon逃避監控的勒索軟件

Group-IB 的研究人員已成功識別出一種新型的網路犯罪威脅，展現了現代惡意軟件日益增強的複雜性。這個被稱為 Deadlock 的勒索軟件家族是在2025年第二季度被發現的，具有令人震驚的躲避能力。值得注意的是，Deadlock 不僅攻擊傳統的系統，還採用了一種創新的策略：它利用 Polygon 的去中心化基礎設施來分發其惡意組件，並幾乎無法被攔截地輪換代理伺服器的地址。

Deadlock 如何利用區塊鏈來隱藏自己

Deadlock 的技術機制非常巧妙。該惡意軟件會在與 Polygon 網絡直接交互的 HTML 文件中注入 JavaScript 代碼。這些代碼一旦執行，就會利用 RPC 節點列表作為閘道，獲取由攻擊者控制的伺服器的最新地址。這一策略充分利用了區塊鏈的去中心化和偽匿名性質，建立了難以通過傳統安全技術封鎖的隱蔽通信通道。

複雜躲避技術的演進

這種隱藏策略並非全新。研究人員早已在 EtherHiding 惡意軟件中記錄了類似的方法，該軟件也利用去中心化架構來躲避偵測。然而，Deadlock 在應用層面上已經取得了質的飛躍。分析顯示，目前至少存在三個不同的 Deadlock 變體在流傳，最新版本更進一步整合了加密訊息傳遞應用 Session，提升了其複雜度。

對安全的影響

將 Session 集成到 Deadlock 的最新變體中，顯著擴展了該惡意軟件的操作能力。攻擊者現在可以直接與受害者進行加密通信，促進勒索談判和指令傳達，無需擔心被偵測。Polygon 作為分發基礎設施與 Session 作為通信渠道的結合，打造出一個多用途的攻擊架構，對傳統的事件響應機制構成了嚴峻挑戰。

圖片說明

圖 1：Deadlock 利用區塊鏈進行隱蔽通信的流程示意圖

結論

這一新型的攻擊手法展現了惡意軟件在技術上的不斷演進，提醒安全專家必須持續更新防禦策略，並密切監控去中心化技術在惡意用途上的新動向。未來，對於這類利用區塊鏈和去中心化架構的威脅，將需要更為創新和多層次的安全措施來應對。