Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Supply chain напад врз n8n ги злоупотребува community нодовите за кражба на OAuth токени

Објавено: 13.01.2026

Забележано е дека заканувачи поставиле сет од осум пакети на npm регистарот кои се претставувале како интеграции за платформата за автоматизација на работни текови n8n, со цел да им ги украдат OAuth креденцијалите на развивачите.

Еден од тие пакети, со име „n8n-nodes-hfgjf-irtuinvcm-lasdqewriit“, имитира интеграција со Google Ads и ги поттикнува корисниците да ја поврзат својата рекламна сметка преку наизглед легитимна форма, по што ги пренасочува (исцрпува) OAuth креденцијалите кон сервери под контрола на напаѓачите.

„Овој напад претставува нова ескалација на заканите во supply chain“, соопшти Endor Labs во извештај објавен минатата недела. „За разлика од традиционалниот npm малициозен софтвер, кој често ги таргетира креденцијалите на развивачите, оваа кампања ги искористи платформите за автоматизација на работни текови кои функционираат како централизирани трезори за креденцијали – чувајќи OAuth токени, API клучеви и чувствителни податоци за десетици интегрирани сервиси како Google Ads, Stripe и Salesforce на едно место.“

Целосната листа на идентификувани пакети, кои во меѓувреме се отстранети, е следнава:

  • n8n-nodes-hfgjf-irtuinvcm-lasdqewriit (4.241 преземања, автор: kakashi-hatake)
  • n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl (1.657 преземања, автор: kakashi-hatake)
  • n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhhksdlkkmz (1.493 преземања, автор: kakashi-hatake)
  • n8n-nodes-performance-metrics (752 преземања, автор: hezi109)
  • n8n-nodes-gasdhgfuy-rejerw-ytjsadx (8.385 преземања, автор: zabuza-momochi)
  • n8n-nodes-danev (5.525 преземања, автор: dan_even_segler)
  • n8n-nodes-rooyai-model (1.731 преземања, автор: haggags)
  • n8n-nodes-zalo-vietts (4.241 преземања, автори: vietts_code и diendh)

Корисниците на npm „zabuza-momochi“, „dan_even_segler“ и „diendh“ се наведени и како автори на уште четири библиотеки кои, во моментот на пишување, сè уште се достапни за преземање:

  • n8n-nodes-gg-udhasudsh-hgjkhg-official (2.863 преземања)
  • n8n-nodes-danev-test-project (1.259 преземања)
  • @diendh/n8n-nodes-tiktok-v2 (218 преземања)
  • n8n-nodes-zl-vietts (6.357 преземања)

Не е јасно дали тие содржат слична малициозна функционалност. Сепак, проценка на првите три пакети преку ReversingLabs Spectra Assure не открила безбедносни проблеми. Во случајот на „n8n-nodes-zl-vietts“, анализата ја означила библиотеката како таква што содржи компонента со историја на малициозен софтвер.

Интересно е што ажурирана верзија на пакетот „n8n-nodes-gg-udhasudsh-hgjkhg-official“ била објавена на npm пред само три часа, што укажува дека кампањата веројатно сè уште е во тек.

Малициозниот пакет, откако ќе се инсталира како community node, се однесува како и секоја друга n8n интеграција – прикажува екрани за конфигурација и ги зачувува OAuth токените од Google Ads сметката во енкриптирана форма во n8n складиштето за креденцијали. Кога работниот тек ќе се изврши, пакетот стартува код кој ги декриптира зачуваните токени со користење на главниот клуч на n8n и потоа ги ексфилтрира кон оддалечен сервер.

Овој развој на настаните претставува прв случај на supply chain закана што експлицитно го таргетира екосистемот на n8n, при што злонамерните актери ја злоупотребуваат довербата во community интеграциите за да ги постигнат своите цели.

Наодите ги истакнуваат безбедносните ризици што доаѓаат со интегрирање недоверливи работни текови, кои можат значително да ја прошират површината за напад. На развивачите им се препорачува да ги ревидираат пакетите пред инсталација, внимателно да ги проверуваат метаподатоците на пакетите за какви било аномалии и да користат официјални n8n интеграции.

n8n исто така предупреди за безбедносниот ризик што произлегува од користењето community nodes од npm, наведувајќи дека тие можат да внесат нарушувачки промени или да извршуваат малициозни активности на машината на која работи сервисот. Кај self-hosted n8n инстанци, се препорачува оневозможување на community nodes со поставување на N8N_COMMUNITY_PACKAGES_ENABLED на false.

„Community nodes работат со исто ниво на пристап како и самиот n8n. Тие можат да читаат environment променливи, да пристапуваат до датотечниот систем, да воспоставуваат излезни мрежни конекции и, што е најкритично, да добиваат декриптирани API клучеви и OAuth токени за време на извршувањето на работните текови“, изјавија истражувачите Киран Рај и Хенрик Плејт. „Не постои sandboxing или изолација помеѓу кодот на нодовите и n8n runtime-от.“

„Поради ова, еден единствен малициозен npm пакет е доволен за да се добие длабока видливост во работните текови, да се украдат креденцијали и да се комуницира со надворешни сервери без веднаш да се предизвика сомнеж. За напаѓачите, npm supply chain-от претставува тивка и исклучително ефикасна влезна точка во n8n околините.“

Извори:

  • The Hacker News – n8n Supply Chain Attack Abuses Community Nodes to Steal OAuth Tokens The Hacker News