Ваше доверие — их любимая лазейка. Хакеры перестали ломать компании и сместили фокус на их партнёров

В 2025 году атаки на цепочки поставок окончательно перестали быть редкими инцидентами и превратились в системную угрозу. В новом отчёте High-Tech Crime Trends 2026 компания Group-IB описывает, как злоумышленники всё чаще бьют не по конечным целям, а по поставщикам программного обеспечения, SaaS-платформам и подрядчикам, чтобы получить доступ сразу к сотням организаций. Такой подход меняет саму логику киберпреступности и размывает границы между отдельными инцидентами.

Авторы отчёта подчёркивают, что доверие стало главным уязвимым звеном. Компрометация одного вендора или популярной библиотеки способна запустить «эффект домино», затрагивая тысячи клиентов. По данным исследования, в 2025 году больше всего атак приходилось на IT-сектор, финансовые услуги и транспорт. В десятку стран, наиболее часто становившихся целями, вошли США, Австралия, Франция, Великобритания и Япония.

Отдельное внимание уделено атакам на open source. В экосистемах npm и других репозиториях злоумышленники размещали вредоносные пакеты, перехватывали токены разработчиков и внедряли самораспространяющиеся черви. Кампания Shai-Hulud затронула сотни пакетов, а вторая волна увеличила масштаб до почти 800 библиотек. Через такие компрометации похищались токены GitHub, учётные данные npm и файлы проектов, что открывало путь к дальнейшему распространению вредоносного кода.

Браузерные расширения также стали удобной точкой входа. В отчёте описан случай с поддельной версией расширения Trust Wallet для Chrome, из-за которой пострадали 2520 кошельков, а ущерб превысил 8,5 млн долларов. В другом эпизоде злоумышленники через фишинг получили доступ к управлению расширением компании Cyberhaven и встроили вредоносный код, что повлияло на сотни тысяч пользователей и стало частью более широкой кампании.

Фишинг эволюционировал в сторону кражи OAuth-токенов и обхода многофакторной аутентификации. Инструменты Phishing-as-a-Service вроде Tycoon2FA позволяли перехватывать сессионные данные Microsoft 365 и Gmail. Параллельно появились полностью автоматизированные сервисы для рассылки спама с использованием генеративного ИИ. Такие платформы адаптируют письма под конкретные цели и помогают обходить фильтры.

Отчёт фиксирует рост злоупотреблений синтетическими личностями. Северокорейские IT-работники, действующие под различными псевдонимами, устраивались в зарубежные компании, используя поддельные резюме и deepfake-интервью. Это давало им долгосрочный доступ к корпоративной инфраструктуре и интеграциям партнёров.

Среди заметных инцидентов 2025 года упоминается компрометация устаревшей инфраструктуры Oracle Cloud, где злоумышленник под ником rose87168 заявил о получении данных примерно 6 млн пользователей. Анализ выборки показал наличие более 1700 уникальных доменов и актуальных на февраль 2025 года записей. Ещё один пример — цепочка компрометации Salesloft, Drift и Salesforce через украденные OAuth-токены, позволившая получить доступ к данным клиентов нескольких крупных компаний.

Group-IB также сообщила о поддержке 52 правоохранительных органов в шести международных операциях. В результате были задержаны 1809 человек и ликвидированы более 34 тыс. вредоносных ресурсов. По оценке компании, подтверждённый ущерб от киберпреступлений превысил 100 млн долларов.

Авторы отчёта делают вывод, что в 2026 году атаки на цепочки поставок станут ещё более автоматизированными и незаметными. ИИ сократит время от компрометации до эксплуатации до часов или даже минут, а основной целью останутся токены, API-ключи и интеграции, которые позволяют злоумышленникам растворяться в легитимных процессах.