DeadLock：利用Polygon区块链隐藏的勒索软件

根据Odaily报道的Group-IB的报告，勒索软件家族DeadLock在Polygon的智能合约中发现了一种巧妙的策略，用于规避安全检测机制。自2025年7月首次发现以来，这款恶意软件展现出非凡的能力：集成直接与Polygon网络交互的JavaScript代码，将区块链技术转变为隐藏其非法操作的系统。

DeadLock如何利用智能合约分发指令

DeadLock采用的技术在网络威胁背景下尤为创新。通过在HTML文件中注入代码片段，勒索软件与Polygon的RPC节点建立连接，这些节点充当攻击者完全控制的基础设施的网关。这种方法类似于之前在EtherHiding案例中记录的方式，能够构建极难被安全专家封堵的通信渠道。

使用Polygon并非偶然：该区块链网络提供高速交易和低成本的特点，使其成为寻求隐秘操作的恶意软件的理想平台。通过RPC列表，DeadLock不断获取新的代理服务器地址，轮换其基础设施，使监控系统不断遇到障碍。

图1：DeadLock利用智能合约和RPC节点建立通信渠道的示意图

此外，DeadLock还利用多种技术手段隐藏其活动，包括动态加载代码、混淆脚本以及利用合法的区块链交易作为信号传递的媒介。这些措施极大地增加了检测和追踪的难度。

DeadLock的演变：扩展的变体和新功能

到目前为止，安全分析师已识别出至少三种不同的勒索软件变体。最新的版本集成了特别令人担忧的功能：加密消息应用Session，使DeadLock的操作员能够与受害者保持直接且安全的通信，大大提高了勒索操作的复杂性。

这种演变反映了当前网络威胁形势中的一个令人担忧的趋势：利用去中心化技术和加密应用增强数字犯罪的操作能力。DeadLock不仅展现出适应能力，还表现出一定的工程水平，暗示其背后可能是拥有丰富技术资源和深刻理解区块链基础设施如何被恶意利用的攻击团体。

除了通信手段的升级，DeadLock还开始采用多重签名和时间锁等高级加密技术，以确保其操作的隐秘性和安全性。这使得追踪和阻断其活动变得更加困难。

未来威胁展望

随着技术的不断演进，DeadLock的策略也在不断升级。未来，可能会出现更多利用区块链技术进行隐蔽操作的恶意软件，特别是在DeFi（去中心化金融）和NFT（非同质化代币）领域。这要求安全社区不断加强检测手段，开发针对区块链相关威胁的专门防护措施。

总之，DeadLock的案例提醒我们，区块链技术虽然带来了许多创新和便利，但也为网络犯罪提供了新的工具和渠道。只有不断提升安全意识和技术能力，才能有效应对这些新兴的威胁。

【完】