Атаки на цепочки поставок продолжали преследовать организации всех размеров в 2025 году, развивая тенденцию, отмеченную в предыдущем году, когда злоумышленники использовали уязвимости в широко используемом программном обеспечении и облачных сервисах для компрометации многочисленных конечных пользователей. В этом году продолжилась тенденция, когда злоумышленники нацеливались на единую точку компрометации, такую как поставщик облачных услуг или разработчик программного обеспечения, чтобы получить доступ к потенциально миллионам их клиентов.

Одним из примечательных инцидентов, начавшимся в декабре 2024 года, но последствия которого распространились и на 2025 год, стала блокчейн Solana, где хакеры украли примерно 155 000 долларов у тысяч сторон смарт-контрактов. Метод заключался во внедрении вредоносного кода в цепочку поставок, что позволило злоумышленникам получать прибыль, незаметно перенаправляя средства.

Атаки на цепочки поставок привлекательны для злоумышленников, поскольку предлагают высокую отдачу от инвестиций. Компрометируя одну организацию с большой базой пользователей, злоумышленники могут добиться широкого воздействия с относительно небольшими усилиями по сравнению с нацеливанием на отдельные организации. Этот подход оказался особенно эффективным против организаций, использующих облачные сервисы, программное обеспечение с открытым исходным кодом и другие широко распространенные технологии.

Рост искусственного интеллекта (ИИ) еще больше усложнил ситуацию. Хотя ИИ предлагает потенциальные решения для обнаружения и предотвращения атак на цепочки поставок, он также открывает новые возможности для эксплуатации. Например, злоумышленники могут использовать ИИ для выявления уязвимостей в программном коде или для автоматизации процесса внедрения вредоносного кода в цепочку поставок.

Эксперты предполагают, что организациям необходимо принять многоуровневый подход к безопасности, включая надежное управление уязвимостями, оценку рисков цепочки поставок и непрерывный мониторинг своих систем. Кроме того, сотрудничество и обмен информацией между организациями имеют решающее значение для эффективного обнаружения и реагирования на атаки на цепочки поставок. Разработка и развертывание инструментов безопасности на основе ИИ также могут сыграть важную роль в смягчении этих развивающихся угроз.

По состоянию на конец 2025 года исследователи в области безопасности активно работают над разработкой новых методов обнаружения и предотвращения атак на цепочки поставок, включая использование ИИ для анализа кода и выявления подозрительных закономерностей. Ожидается, что продолжающаяся битва между злоумышленниками и защитниками продолжится, при этом обе стороны будут использовать ИИ и другие передовые технологии для получения преимущества. В 2026 году основное внимание, вероятно, будет уделено превентивным мерам и расширению сотрудничества для укрепления общей безопасности организаций и их цепочек поставок.