据 Group-IB 监测,勒索软件家族 DeadLock 正利用 Polygon 智能合约分发和轮换代理服务器地址,以逃避安全检测。该恶意软件于 2025 年 7 月首次被发现,通过在 HTML 文件中嵌入与 Polygon 网络交互的 JS 代码,利用 RPC 列表作为网关获取攻击者控制的服务器地址。这种技术与之前发现的 EtherHiding 类似,旨在利用去中心化账本构建难以被屏蔽的隐蔽通信通道。DeadLock 目前已出至少三个变体,最新版本还嵌入了加密通信应用 Session 以直接与受害者对话。
