Az ellátási lánc-támadások új hulláma
Az ellátási láncokat ért támadások igazi aranykorukat élték 2025-ben. December végén például hackerek közel 56,8 millió forintot (kb. 155 000 USD) loptak el a Solana blokklánc okosszerződéseiben részt vevő több ezer érintett számlájáról. Hasonlóképpen túl sok eset történt ahhoz, hogy mindet fel lehessen sorolni, de a legfontosabbak között ott volt:
– Egy fejlesztői csomagot hasonló nevű, ám rosszindulatú kóddal helyettesítettek a Go programozási nyelv ökoszisztémájában. Csak emiatt a csomag miatt több tízezer fejlesztő munkája vált sebezhetővé.
– Az NPM csomagtárba 126 új kártékony csomag került, ezeket több mint 86 000 alkalommal töltötték le. Ezeket gyakran automatikusan telepítik a Remote Dynamic Dependencies funkción keresztül.
– Több tucat Magento-alapú webáruházat támadtak meg úgy, hogy három szoftverfejlesztő cég (Tigren, Magesolution, Meetanshi) kompromittált bővítményeit terjesztették. Egy 14,5 ezer milliárd forint forgalmú (40 milliárd USD) multinacionális vállalat is az áldozatok között volt.
– Több tucat nyílt forráskódú csomagot is feltörtek, ezek együtt havonta több millió letöltést érnek el. A támadások során a hackerek a kriptovaluta-fizetéseket eltérítették saját pénztárcáikra.
– A tj-actions komponense (több mint 23 000 szervezet használja) is érintetté vált, csakúgy, mint a Toptal tehetségügynökséghez kapcsolódó 10 npm-csomag.
– Egyes esetekben a fejlesztők személyes fiókjait törték fel, majd ezekkel helyeztek el hátsó kapukat népszerű projektekben.
Az MI és a chatbotok gyenge pontjai
Egy idő után az MI-alapú chatbotokat is egyre több támadás érte – ezek közül főleg azok tudtak más rendszerekre is átterjedni, amelyek a nagy nyelvi modellek hosszú távú memóriáját manipulálták. Bizonyos támadók olyan utasításokat adtak egy kriptovaluta-ügyleteket intéző LLM-nek, amelyek nyomán az hamis emlékeket tárolt el, majd ennek hatására minden újabb átutalást a hacker pénztárcájára irányított. Más esetekben nemcsak proof-of-concept demonstrációról volt szó: a szerződéses partnerek, akik már hozzáférnek ezekhez a rendszerekhez, akár tömeges csalást is véghezvihetnek rajtuk keresztül.
Hasonló elveken alapulva Johan Rehberger kutató sikeresen hamis memóriákat injektált be a Google Gemini chatbotnál is, ezzel megkerülve több biztonsági korlátot. Ennek révén a támadók például olyan adatokat értek el, amelyek normális esetben elzártak maradnak, az ilyen hamis emlékek szinte örökké ott maradhatnak a rendszerben.
A GitLab Duo chatbotját egy promptinjekcióval sikerült rávenni gondosan összeállított kártékony kódrészek hozzáadására, sőt, egy hasonló támadás érzékeny adatokat is kiszivárogtatott. A Gemini CLI kódolási eszköze egy idő után lehetőséget adott arra is, hogy fejlesztők számítógépén törlő- vagy más ártó parancsokat futtassanak le jogosulatlanul.
MI mint csalihal és bűntárs
Nemcsak chatbotokat, hanem magát az MI-t használták fel megtévesztő támadásokhoz. Két férfit azzal vádoltak, hogy MI-asszisztens segítségével törölték és lopták el állami adatokat: konkrétan MI-chaten kérdeztek rá, hogyan kell törölni a rendszer naplóit SQL-szerveren, vagy Windows Server 2012-n minden eseményt. Ennek ellenére végül a nyomozók vissza tudták fejteni a tevékenységüket.
Egy másik elkövető abban is bűnösnek vallotta magát, hogy a Walt Disney Company egyik dolgozóját csapta be egy MI-alapú képgenerátor hamis verziójával.
A Salesloft Drift AI chatje is érintetté vált: a felhasználóknak minden, a platformhoz kötött biztonsági tokenjüket kompromittáltnak kellett tekinteniük, miután támadók ezek segítségével Google Workspace-fiókokon keresztül Salesforce-azonosítókat és további bejelentkezési adatokat loptak el.
Több MI-alkalmazás is váratlan hibáktól zengett. Idén a Copilot kiadott több mint 20 000 privát GitHub-repozitórium tartalmát – köztük a Google, az Intel, a Huawei, a PayPal, az IBM, a Tencent és a Microsoft fejlesztőinek kódjait is. Bár időközben a keresőkből eltávolították ezeket, a Copilot még ezután is képes volt kiszivárogtatni az adatokat.
A felhő bukásai – amikor az egész világ leáll
Miközben az internet eredetileg decentralizált megbízhatóságra született, egy idő után néhány számítási óriás egyeduralma vált meghatározóvá. 2025 leglátványosabb leállása az Amazon AWS rendszerében történt: egyetlen hibás pont miatt 15 óra 32 percen át állt le világszerte rengeteg szolgáltatás. A hiba oka egy olyan versenyhelyzet volt a DNS-konfigurációs folyamatban, amely hálózati torlódást idézett elő, végül a teljes infrastruktúra összeomlott.
A Cloudflare is két nagy leállást szenvedett el egymás után, amelyek miatt világszerte lassult vagy elérhetetlenné vált az internet. Októberben pedig az Azure is hasonlóan komoly kieséssel küzdött.
Meta és Yandex: adatgyűjtés a háttérből
Nem minden támadás nyílt: a Meta és a Yandex is ki tudta játszani az Android titkosítási és anonimizációs védelmeit. A Meta Pixel és a Yandex Metrica segítségével évekre visszamenőleg tudták követni a felhasználók böngészési előzményeit. Ezek a módszerek áthidalták az Android sandboxingját és a böngészők speciális tárolási védelmeit is.
Dicséretre méltó pozitív példa: a Signal kvantumbiztosítása
Nem minden szoftverbiztonsági sztori végződött rosszul: a Signal privát csevegőalkalmazás jelentős fejlesztést vezetett be, amelynek hála a jövőben a kvantumszámítógépek támadásai ellen is védettek lesznek a felhasználók üzenetei. Ez a fejlesztés szakmai körökben is elismerést váltott ki: az app újjáépítése komoly mérnöki bravúrnak számít.
Az év során több más figyelemreméltó sebezhetőség is napvilágot látott: Apple-termékeknél például előfordult, hogy titkosítatlan adatforgalom került a TikTok tulajdonosához, a kínai ByteDance-hez, vagy hogy hardverszintű oldalsáv-csatorna-támadások során Gmail-, iCloud- és más szolgáltatások adatai szivárogtak ki – mindez csak tovább erősítette azt a tanulságot, hogy a digitális biztonság ma sosem volt még ennyire törékeny.
