Термин · Глоссарий B2B-ПО

Supply-chain Attack (Supply-chain Attack)

Supply-chain Attack (атака на цепочку поставок) – вид кибератаки, при котором злоумышленник компрометирует доверенного поставщика программного обеспечения, аппаратного обеспечения или услуг для внедрения вредоносного кода или бэкдора в продукт, который затем распространяется к конечным жертвам через легитимные каналы обновления.

Буква «S» В категориях: 3 Платформ: 6+

Введение

Supply-chain Attack (атака на цепочку поставок) – метод кибератаки, направленный не непосредственно на цель, а на её поставщиков, разработчиков ПО или провайдеров услуг. Злоумышленник внедряет вредоносный код в продукт ещё на этапе разработки, сборки или обновления, после чего заражённые версии автоматически распространяются через легитимные каналы к тысячам организаций-клиентов.

Атаки на цепочку поставок особенно опасны: жертва получает вредоносное ПО из доверенного источника, который она сама же установила и которому доверяет подписанные обновления.

История и контекст

Концептуально атаки на цепочку поставок существуют давно, но их масштаб резко вырос в 2017–2020 годах. NotPetya (2017) использовал обновление украинского бухгалтерского ПО M.E.Doc для распространения деструктивного вайпера по корпоративным сетям. SolarWinds Orion (2020) – внедрение бэкдора SUNBURST в обновления платформы мониторинга SolarWinds; 18 000 организаций скачали заражённую версию. Kaseya VSA (2021) – ransomware через платформу управления ИТ. XZ Utils (2024) – социальная инженерия для внедрения бэкдора в популярную Linux-библиотеку.

Как работает Supply-chain Attack

Основные векторы:

  • Компрометация сборочного конвейера (CI/CD) – внедрение вредоносного кода на этапе автоматической сборки ПО.
  • Захват аккаунта разработчика – публикация вредоносного обновления от имени легитимного мейнтейнера.
  • Подмена зависимостей (Dependency Confusion) – публикация пакета с тем же именем в публичном репозитории (npm, PyPI) с более высоким номером версии.
  • Компрометация управляемого сервиса (MSP/MSSP) – атака через RMM-инструменты провайдера для распространения на клиентов.

Где применяется (как угроза)

  • Разработчики ПО – защита CI/CD и репозиториев.
  • Корпоративные пользователи стороннего ПО – любая организация, использующая сторонние решения.
  • МСП на обслуживании MSP – провайдеры управляемых услуг как точка входа ко множеству клиентов.

Меры защиты

Software Bill of Materials (SBOM) – реестр зависимостей; подписание артефактов сборки (Sigstore, cosign); проверка хэшей загружаемых компонентов; сегрегация сетей для критических систем; Zero Trust для подрядчиков и MSP; мониторинг активности компонентов ПО через EDR.

Связь с другими понятиями

Supply-chain Attack использует доверие как оружие – обходит традиционные средства защиты. Связан с Ransomware (как вектор доставки), Zero-day (бэкдоры как скрытые уязвимости), Threat Intelligence (обнаружение индикаторов компрометации в легитимном ПО).

Связанные термины

Понятия из глоссария Цифрового маркетплейса, которые часто встречаются вместе с термином «Supply-chain Attack».

Hardening Hardening (усиление защиты) – систематический процесс снижения поверхности атаки информационной... Pentest Pentest (тест на проникновение) – контролируемая кибератака на IT-систему, сеть или приложение,... Ransomware Ransomware (программа-вымогатель) – вредоносное ПО, шифрующее файлы или блокирующее доступ к си... Threat Intelligence Threat Intelligence (разведка угроз) – систематизированные, обработанные и контекстуализированн... Zero-day Уязвимость, неизвестная производителю ПО, для которой ещё не существует официального патча безо...

Платформы класса «Supply-chain Attack»

Решения из каталога Цифрового маркетплейса, относящиеся к этому классу ПО. Карточки ведут на полные карточки платформ с тарифами, обзорами и кейсами внедрения.

Решения на платформу ОС Аврора позволяют создавать доверенную и безопасную мобильную среду для корпоративных и...
Цена по запросу
Подробнее →
SM

StarForce MMOG

DLP системы
StarForce MMOG — система защиты онлайн-игр от Протекшен Технолоджи: защита от читеров, нелегального копировани...
Цена по запросу
Подробнее →

Категории каталога

Разделы каталога Цифрового маркетплейса, в которые входят решения, использующие «Supply-chain Attack».

Информационная безопасность Защита конечных точек Управление уязвимостями

Где применяется

Отрасли, в которых «Supply-chain Attack» используется на практике. Откройте отраслевой раздел Цифрового маркетплейса, чтобы увидеть подходящие решения, кейсы и новости.

Промышленность и производство
Информационная безопасность и кибербезопасность
Государственное управление и госуслуги
Банки и страховые компании
Связь и телеком

Частые вопросы про Supply-chain Attack

Чем supply-chain атака опасна для бизнеса?

Атака приходит из доверенного источника – антивирус не блокирует легально подписанное обновление. Организация не знает о заражении до активации бэкдора или нанесения ущерба.

Что такое SolarWinds и почему это важно?

В 2020 году APT-группа внедрила бэкдор SUNBURST в обновления Orion. 18 000 организаций установили заражённую версию, включая правительство США. Инцидент изменил подход к безопасности цепочки поставок.

Что такое Dependency Confusion?

Атака, при которой злоумышленник публикует пакет с именем внутренней библиотеки в публичном npm/PyPI с более высоким номером версии. CI/CD системы скачивают «более новый» публичный пакет вместо внутреннего.

Что такое SBOM?

Software Bill of Materials – машиночитаемый реестр всех компонентов и зависимостей ПО. Помогает выявить уязвимые компоненты и отслеживать происхождение кода.

Как защититься от атак на цепочку поставок?

Проверять подписи и хэши обновлений; использовать SBOM; применять Zero Trust к подрядчикам и MSP; мониторить аномальную активность после обновлений; использовать изолированные среды для критических систем.
ПРОДУКТ МЕСЯЦА
Контур Декларант
ИЮН 2026

Система для подготовки и подачи таможенных деклараций. Помощь с оформлением ДК, расчет таможенных платежей…

Открыть продукт
КЕЙС КВАРТАЛА
Искусственный интеллект в медицине
Министерство здравоохранения Чеченской Республики · Q2 2026

внедрение системы распознавания патологий на медицинских изображениях с помощью алгоритма глубинного обучения…

Открыть кейс
ГЛАВНОЕ
Контур Маркет + ОФД — интегрированная платформа для розничной торговли
ИЮН 2026

Свежая новость рынка

Читать новость