Атаки на цепочки поставок продолжали преследовать организации всех размеров в 2025 году, развивая тенденцию, отмеченную в предыдущем году, сообщили эксперты по безопасности. Эти атаки, которые включают в себя компрометацию одной организации с многочисленными конечными пользователями, такой как поставщик облачных услуг или широко используемый разработчик программного обеспечения, позволили злоумышленникам потенциально заразить миллионы целей.

Одним из заметных инцидентов, который произошел в декабре 2024 года, но имел последствия в течение всего 2025 года, было использование хакерами уязвимостей в блокчейне Solana. Сообщается, что злоумышленники украли около 155 000 долларов у тысяч пользователей смарт-контрактов. Аналитики по безопасности объяснили успех этих атак растущей сложностью современных цепочек поставок программного обеспечения и зависимостью от сторонних компонентов.

«Взаимосвязанность систем, обеспечивая инновации и эффективность, также создает большую поверхность атаки», — сказала доктор Аня Шарма, исследователь кибербезопасности в Институте цифровой безопасности. «Компрометация одного слабого звена может иметь каскадные последствия для всей цепи».

Рост искусственного интеллекта (ИИ) в разработке программного обеспечения и облачной инфраструктуре еще больше усложнил ситуацию. Хотя ИИ предлагал возможность автоматизировать задачи безопасности и обнаруживать аномалии, он также представлял новые возможности для эксплуатации. Исследователи обнаружили случаи, когда инструменты на базе ИИ использовались для выявления уязвимостей в цепочках поставок или для создания более сложных фишинговых атак, нацеленных на разработчиков.

«Мы наблюдаем сдвиг, когда злоумышленники используют ИИ для расширения своих возможностей», — объяснил Марк Олсен, старший аналитик по анализу угроз в CyberDefense Group. «Это включает в себя использование ИИ для автоматизации разведки, выявления уязвимого кода и даже создания убедительных приманок для социальной инженерии».

Облако, предназначенное для обеспечения масштабируемой и безопасной инфраструктуры, также оказалось источником уязвимостей. Неправильно настроенные облачные среды и неадекватный контроль доступа позволили злоумышленникам получить несанкционированный доступ к конфиденциальным данным и системам.

Несмотря на трудности, в 2025 году была одна заметная история успеха. Совместные усилия нескольких сообществ открытого исходного кода и фирм, занимающихся кибербезопасностью, привели к разработке нового инструмента на базе ИИ, который мог автоматически обнаруживать и исправлять уязвимости в программном обеспечении с открытым исходным кодом. Этот инструмент, известный как «Guardian», был признан предотвратившим несколько потенциальных атак на цепочки поставок.

«Guardian демонстрирует потенциал ИИ для активной защиты от угроз», — сказала Сара Чен, ведущий разработчик проекта. «Автоматизируя обнаружение и исправление уязвимостей, мы можем значительно снизить риск атак на цепочки поставок».

Заглядывая в будущее, эксперты прогнозируют, что атаки на цепочки поставок останутся серьезной угрозой в ближайшие годы. Они подчеркнули необходимость для организаций принять многоуровневый подход к безопасности, включая надежное управление уязвимостями, оценку рисков цепочки поставок и обучение сотрудников осведомленности о безопасности. Разработка и развертывание инструментов безопасности на базе ИИ, таких как Guardian, также рассматривались как решающие для того, чтобы оставаться на шаг впереди развивающихся угроз.