**DeadLock 勒索软件利用 Polygon 区块链规避代码和检测系统**

安全研究人员已识别出一种名为 DeadLock 的复杂勒索软件，其策略性地利用 Polygon 区块链生态系统分发恶意代理基础设施，并以日益复杂的方式规避检测机制。该威胁首次在2025年7月被记录，标志着网络犯罪分子在利用去中心化网络进行操作安全方面的重大转变。

**DeadLock 如何利用区块链基础设施**

该恶意软件的核心技术是将 JavaScript 载荷直接注入 HTML 文件中，然后通过 Remote Procedure Call (RPC) 端点与 Polygon 网络通信，作为指挥控制渠道。与依赖传统集中式服务器（易于监控和封锁）不同，DeadLock 操作员设计了一个系统，将代理服务器地址不断在区块链智能合约中轮换。这使得攻击者能够规避安全系统使用的代码，同时保持对被感染机器的持续访问。

RPC 网关机制本质上将区块链转变为一个去中心化的通知板，使操作员能够向感染系统分发新的代理地址，而无需暴露自己于传统的网络监控之下。

**演变与技术变体**

研究人员已记录至少三种不同的 DeadLock 变体在流通中。随着最新版本的推出，恶意软件的操作范围显著扩大，该版本将加密通信平台 Session 直接集成到载荷中。这一整合实现了攻击者与受害者之间的直接加密通信渠道，极大地增加了检测和事件响应的难度。

与之前使用类似区块链规避技术的威胁——EtherHiding 相似，这种方法正逐渐成为犯罪地下的首选策略。通过将基础设施锚定在去中心化的账本上，威胁行为者创建的通信模式本质上抗拒传统的封锁和过滤措施。

**对安全基础设施的影响**

Polygon 的智能合约功能与加密通信协议的结合，带来了特别具有挑战性的安全问题。当对手利用区块链网络的不可变性和分布式特性来策划行动时，依赖传统流量分析和 IP 阻断的组织面临重大限制。