باختصار
- حذرت شركة الأمن السيبراني Group-IB من أن عائلة الفدية DeadLock تستخدم عقود ذكية على Polygon لتوزيع وتدوير عناوين خوادم البروكسي، مما يساعدها على التهرب من الكشف.
- بقيت برمجية الفدية تحت الرادار بسبب قلة الضحايا، وعدم وجود برنامج تابع، وعدم وجود موقع تسريب بيانات علني.
- تعكس التقنية إفصاحات Google العام الماضي بشأن “EtherHiding”، التي تسيء استغلال عقود Ethereum الذكية لإخفاء البرمجيات الخبيثة.
حذر شركة الأمن السيبراني Group‑IB يوم الخميس من أن سلالة جديدة من برمجيات الفدية تستخدم العقود الذكية على Polygon لتدوير وتوزيع عناوين خوادم البروكسي لاختراق الأجهزة.
تم التعرف على البرمجية الخبيثة، التي أُطلق عليها DeadLock، لأول مرة في يوليو 2025 وحتى الآن لم تحظَ بالكثير من الاهتمام لأنها تفتقر إلى برنامج تابع علني وموقع تسريب بيانات، وقامت فقط باختراق عدد محدود من الضحايا، وفقًا للشركة.
🚨 برمجية الفدية DeadLock: عندما يلتقي البلوكشين بالجريمة السيبرانية
كشفت شركة Group-IB عن تهديد متطور يعيد كتابة خطة برمجيات الفدية. يستغل DeadLock العقود الذكية على Polygon لتدوير عناوين البروكسي، وهي تقنية خفية وقليلة التغطية تتجاوز الطرق التقليدية… pic.twitter.com/rlPu9gZd5F
— Group-IB العالمية (@GroupIB) 15 يناير 2026
قالت شركة Group-IB في مدونة: “على الرغم من أنه منخفض الملفت وتأثيره منخفض حتى الآن، إلا أنه يطبق طرقًا مبتكرة تظهر مهارات متطورة قد تصبح خطيرة إذا لم تتعامل المؤسسات مع هذا التهديد الناشئ بجدية.”
وأشارت الشركة إلى أن استخدام DeadLock للعقود الذكية لتوصيل عناوين البروكسي هو “طريقة مثيرة حيث يمكن للمهاجمين تطبيق نسخ لا نهائية من هذه التقنية؛ الخيال هو الحد الأقصى”، وأشارت إلى تقرير حديث من مجموعة استخبارات التهديدات من Google يسلط الضوء على استخدام تقنية مماثلة تسمى “EtherHiding” يستخدمها قراصنة كوريون شماليون.
ما هو EtherHiding؟
EtherHiding هو حملة تم الكشف عنها العام الماضي حيث استخدم قراصنة DPRK blockchain الخاص بـ Ethereum لإخفاء وتوصيل البرامج الضارة. عادةً ما يتم استدراج الضحايا عبر مواقع مخترقة—غالبًا صفحات WordPress—تقوم بتحميل قطعة صغيرة من JavaScript. ثم تقوم تلك الشفرة بجلب الحمولة المخفية من blockchain، مما يسمح للمهاجمين بتوزيع البرمجيات الخبيثة بطريقة مقاومة جدًا للتعطيل.
كل من EtherHiding و DeadLock يعيدان استخدام دفاتر الحسابات العامة واللامركزية كقنوات سرية يصعب على المدافعين حظرها أو تفكيكها. يستغل DeadLock البروكسيات الدوارة، وهي خوادم تغير عنوان IP الخاص بالمستخدم بانتظام، مما يصعب تتبعها أو حظرها.
بينما اعترفت شركة Group‑IB بأن “منافذ الوصول الأولية وغيرها من مراحل الهجمات المهمة لا تزال غير معروفة في الوقت الحالي”، ذكرت أن إصابات DeadLock تعيد تسمية الملفات المشفرة بامتداد “.dlock” وتستبدل خلفيات سطح المكتب بملاحظات فدية.
تُحذر الإصدارات الأحدث الضحايا أيضًا من أن البيانات الحساسة قد سُرقت ويمكن بيعها أو تسريبها إذا لم يتم دفع الفدية. تم التعرف على ثلاثة أنواع على الأقل من البرمجية الخبيثة حتى الآن.
كانت الإصدارات الأقدم تعتمد على خوادم يُزعم أنها مخترقة، لكن الباحثين يعتقدون الآن أن المجموعة تدير بنيتها التحتية الخاصة. ومع ذلك، فإن الابتكار الرئيسي يكمن في كيفية استرجاع DeadLock لعناوين الخوادم وإدارتها.
قالت الشركة: “اكتشف باحثو Group-IB رمز JavaScript داخل ملف HTML يتفاعل مع عقدة ذكية على شبكة Polygon.” وشرحت: “تحتوي قائمة RPC على النقاط النهائية المتاحة للتفاعل مع شبكة Polygon أو blockchain، وتعمل كبوابات تربط التطبيقات بعقد الشبكة الموجودة على blockchain.”
وأشارت إلى أن أحدث إصدار تم ملاحظته يدمج أيضًا قنوات اتصال بين الضحية والمهاجم. يترك DeadLock ملف HTML يعمل كغلاف حول تطبيق الرسائل المشفر Session.
قالت Group‑IB: “الغرض الرئيسي من ملف HTML هو تسهيل التواصل المباشر بين مشغل DeadLock والضحية.”
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة من مصادر خارجية ولا تمثل آراء أو مواقف Gate. المحتوى المعروض في هذه الصفحة هو لأغراض مرجعية فقط ولا يشكّل أي نصيحة مالية أو استثمارية أو قانونية. لا تضمن Gate دقة أو اكتمال المعلومات، ولا تتحمّل أي مسؤولية عن أي خسائر ناتجة عن استخدام هذه المعلومات. تنطوي الاستثمارات في الأصول الافتراضية على مخاطر عالية وتخضع لتقلبات سعرية كبيرة. قد تخسر كامل رأس المال المستثمر. يرجى فهم المخاطر ذات الصلة فهمًا كاملًا واتخاذ قرارات مدروسة بناءً على وضعك المالي وقدرتك على تحمّل المخاطر. للتفاصيل، يرجى الرجوع إلى
إخلاء المسؤولية.
