Атаки на цепочки поставок продолжали преследовать организации в 2025 году, развивая тенденцию, наметившуюся в 2024 году, когда злоумышленники использовали скомпрометированные организации для заражения многочисленных конечных пользователей. Эти атаки, нацеленные на уязвимости в широко используемом программном обеспечении или сервисах, стали все более привлекательными для злоумышленников из-за их потенциала воздействия на огромное количество жертв через единую точку входа.

Одним из заметных инцидентов, начавшимся в декабре 2024 года, но последствия которого распространились и на 2025 год, стала блокчейн Solana, где хакеры, как сообщается, украли около 155 000 долларов у пользователей смарт-контрактов. Эта атака подчеркнула уязвимость децентрализованных систем к компрометации цепочки поставок, поскольку вредоносный код был внедрен в доверенные компоненты.

Рост числа атак на цепочки поставок отражает более широкую тенденцию, когда злоумышленники нацеливаются на жизненный цикл разработки программного обеспечения и облачную инфраструктуру. Компрометируя поставщика облачных услуг или широко используемую библиотеку с открытым исходным кодом, злоумышленники могут получить доступ к системам бесчисленного количества организаций, которые полагаются на эти сервисы. Этот подход позволяет им обходить традиционные меры безопасности и одновременно закрепляться во многих сетях.

Эксперты по безопасности предупреждают, что растущая сложность современных цепочек поставок программного обеспечения в сочетании с растущей зависимостью от облачных сервисов создала благоприятную почву для таких типов атак. Взаимосвязанность систем затрудняет отслеживание и проверку целостности всех компонентов, что делает организации уязвимыми для вредоносного кода, внедренного в любой точке цепочки.

Последствия этих атак выходят за рамки финансовых потерь. Они также могут нарушить работу критической инфраструктуры, скомпрометировать конфиденциальные данные и подорвать доверие к цифровым системам. Поскольку организации все больше полагаются на программное обеспечение и облачные сервисы, потребность в надежных мерах безопасности цепочки поставок становится все более важной.

Хотя в 2025 году было отмечено множество неудач в обеспечении безопасности цепочки поставок, одна область показала многообещающие результаты: применение искусственного интеллекта (ИИ) для обнаружения угроз и реагирования на них. Разрабатываются инструменты безопасности на основе ИИ для анализа кода, выявления аномалий и обнаружения вредоносной активности в режиме реального времени. Эти инструменты могут помочь организациям выявлять и смягчать риски, связанные с цепочкой поставок, прежде чем они смогут нанести значительный ущерб.

Однако эффективность решений безопасности на основе ИИ зависит от качества и количества данных, на которых они обучаются. Злоумышленники постоянно развивают свою тактику, и модели ИИ необходимо постоянно обновлять, чтобы не отставать от последних угроз. Кроме того, ИИ не является панацеей, и организации также должны инвестировать в другие меры безопасности, такие как управление уязвимостями, контроль доступа и обучение сотрудников.

Заглядывая в будущее, организации должны принять целостный подход к безопасности цепочки поставок, охватывающий технические средства контроля, политики управления и сотрудничество с поставщиками и партнерами. Это включает в себя внедрение надежных методов тестирования безопасности, проверку целостности программных компонентов и мониторинг подозрительной активности. Постоянная эволюция ИИ и облачных технологий будет и впредь формировать ландшафт угроз, требуя от организаций адаптации своих стратегий безопасности соответствующим образом.