Злоумышленники переходят с прямых атак на компании на заражения цепочек поставок

В новом отчёте High-Tech Crime Trends 2026 компания Group-IB описывает, как злоумышленники всё чаще бьют не по конечным целям, а по поставщикам программного обеспечения, SaaS-платформам и подрядчикам, чтобы получить доступ сразу к сотням организаций

Заражение одного поставщика или популярной библиотеки способна запустить «эффект домино», затрагивая тысячи клиентов, пишут в Securitylab. По данным исследования, в 2025 году больше всего атак приходилось на IT-сектор, финансовые услуги и транспорт. В десятку стран, наиболее часто становившихся целями, вошли США, Австралия, Франция, Великобритания и Япония.

Отдельное внимание уделено атакам на open source. В экосистемах npm и других репозиториях злоумышленники размещали вредоносные пакеты, перехватывали токены разработчиков и внедряли самораспространяющиеся черви. Кампания Shai-Hulud затронула сотни пакетов, а вторая волна увеличила масштаб до почти 800 библиотек. Через такие компрометации похищались токены GitHub, учётные данные npm и файлы проектов, что открывало путь к дальнейшему распространению вредоносного кода.

Браузерные расширения также стали удобной точкой входа. В отчёте описан случай с поддельной версией расширения Trust Wallet для Chrome, из-за которой пострадали 2520 кошельков, а ущерб превысил 8,5 млн долларов. В другом эпизоде злоумышленники через фишинг получили доступ к управлению расширением компании Cyberhaven и встроили вредоносный код, что повлияло на сотни тысяч пользователей и стало частью более широкой кампании.

Фишинг эволюционировал в сторону кражи OAuth-токенов и обхода многофакторной аутентификации. Инструменты Phishing-as-a-Service вроде Tycoon2FA позволяли перехватывать сессионные данные Microsoft 365 и Gmail. Параллельно появились полностью автоматизированные сервисы для рассылки спама с использованием генеративного ИИ. Такие платформы адаптируют письма под конкретные цели и помогают обходить фильтры.

Отчёт фиксирует рост злоупотреблений синтетическими личностями. Северокорейские IT-работники, действующие под различными псевдонимами, устраивались в зарубежные компании, используя поддельные резюме и deepfake-интервью. Это давало им долгосрочный доступ к корпоративной инфраструктуре и интеграциям партнёров.

Среди заметных инцидентов 2025 года упоминается компрометация устаревшей инфраструктуры Oracle Cloud, где злоумышленник под ником rose87168 заявил о получении данных примерно 6 млн пользователей. Анализ выборки показал наличие более 1700 уникальных доменов и актуальных на февраль 2025 года записей. Ещё один пример — цепочка компрометации Salesloft, Drift и Salesforce через украденные OAuth-токены, позволившая получить доступ к данным клиентов нескольких крупных компаний.

Group-IB также сообщила о поддержке 52 правоохранительных органов в шести международных операциях. В результате были задержаны 1809 человек и ликвидированы более 34 тыс. вредоносных ресурсов. По оценке компании, подтверждённый ущерб от киберпреступлений превысил 100 млн долларов.