**Mạng Polygon Bị Tấn Công Bởi Ransomware DeadLock Để Trốn Thoát Hệ Thống Phát Hiện**

Các nhà nghiên cứu an ninh tại Group-IB đã phát hiện ra một chiến lược tránh né tinh vi do gia đình ransomware DeadLock sử dụng, tận dụng các hợp đồng thông minh của Polygon để luân chuyển động các địa chỉ máy chủ proxy một cách linh hoạt và vượt qua các cơ chế phát hiện truyền thống. Được xác định lần đầu vào tháng 7 năm 2025, phần mềm độc hại này thể hiện một bước tiến đáng kể trong cách các tội phạm mạng lợi dụng hạ tầng blockchain cho mục đích an ninh hoạt động.

**Kiến Trúc Kỹ Thuật và Phương Pháp Tiêm Mã**

Chuỗi tấn công của DeadLock tập trung vào việc tiêm các routines JavaScript vào các tệp HTML có liên lạc trực tiếp với mạng Polygon. Thay vì lưu trữ các lệnh độc hại trên các máy chủ truyền thống, phần mềm độc hại này truy vấn các cổng RPC dựa trên blockchain để lấy danh sách các điểm cuối proxy do kẻ tấn công kiểm soát. Phương pháp này phản ánh chiến dịch EtherHiding đã được ghi nhận trước đó, thể hiện một xu hướng mới nổi nơi các tác nhân đe dọa sử dụng các sổ cái phi tập trung để xây dựng các kênh giao tiếp bí mật mà các chiến lược chặn truyền thống gặp khó khăn trong việc vô hiệu hóa.

**Thực Trạng Mối Đe Dọa Gia Tăng**

Hiện tại, ransomware tồn tại ít nhất trong ba biến thể khác nhau, trong đó phiên bản mới nhất tích hợp trực tiếp Session—một giao thức truyền thông mã hóa—vào mã của nó. Việc tích hợp này cho phép kẻ tấn công thiết lập các đường hầm mã hóa đầu cuối với các hệ thống bị xâm phạm, làm phức tạp đáng kể quá trình phản ứng sự cố và thông báo nạn nhân.

Việc sử dụng hạ tầng của Polygon nhấn mạnh một điểm yếu nghiêm trọng: các mạng blockchain, được thiết kế để minh bạch và phi tập trung, ngày càng được tái sử dụng như các khung chỉ huy và kiểm soát kiên cố, tránh khỏi các kiểm soát an ninh truyền thống.