DeadLock勒索软件借力Polygon智能合约隐匿行踪

新型勒索软件利用智能合约渗透设备

网络安全公司近日警告称，一种新发现的勒索病毒正通过Polygon智能合约实现代理服务器地址的轮换与分发，从而入侵用户设备。

该恶意软件被命名为DeadLock，最早于2025年7月被发现。由于未设立公开合作计划与数据泄露网站，且感染范围有限，至今未引起广泛关注。

研究人员在报告中指出：“尽管其行事低调、影响有限，但采用的技术手段具有创新性，展现出攻击技能的发展趋势。若相关机构忽视这一新兴威胁，可能造成严重后果。”

区块链隐匿技术升级

DeadLock利用智能合约传递代理地址的方式被描述为“一项有趣的技术创新，攻击者理论上可无限扩展该方法变体，仅受想象力限制”。研究团队同时提及近期某科技公司威胁情报报告披露的类似技术“EtherHiding”——该技术曾遭朝鲜黑客用于通过以太坊区块链隐藏并传递恶意软件。

EtherHiding攻击通常通过被篡改的网站（尤以WordPress页面为甚）诱导受害者加载JavaScript代码片段，进而从区块链中提取隐藏的有效载荷。这种基于分布式账本的恶意软件分发方式具备极强的抗清除能力。

与EtherHiding相似，DeadLock同样将公共分布式账本改造为隐蔽通信通道，大幅增加防御方拦截难度。该勒索软件通过轮换代理服务器持续变更用户IP地址，使得追踪与封锁更为困难。

攻击特征与演化

研究团队表示，目前虽未掌握初始入侵途径等关键攻击环节信息，但已确认DeadLock感染后会将被加密文件扩展名改为“.dlock”，并将桌面背景替换为勒索提示。

新版变种还会警告受害者其敏感数据已被窃取，若拒付赎金将面临数据出售或泄露风险。截至目前已发现至少三种病毒变体。

早期版本依赖据称已遭入侵的服务器运作，但研究人员现在认为该组织已建立自有基础设施。其核心创新在于服务器地址的获取与管理机制。

研究人员在HTML文件中发现与Polygon网络智能合约交互的JS代码，这些代码通过RPC列表获取与区块链交互的可用端点，作为连接应用程序与区块链节点的网关。

最新观测版本还嵌入了受害者和攻击者之间的通信渠道。DeadLock会释放一个HTML文件，该文件作为加密通讯应用的封装外壳，主要功能是为攻击者与受害者建立直接沟通渠道。