Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

n8n Webhooks злоупотребени од октомври 2025 година за испорака на малициозен софтвер преку фишинг е-пораки

Објавено: 16.04.2026

Забележано е дека заканувачки актери го злоупотребуваат n8n, популарна платформа за автоматизација на работни процеси со вештачка интелигенција (AI), за спроведување софистицирани фишинг кампањи и испорака на малициозни содржини или за отпечаток (fingerprinting) на уреди преку автоматски испратени е-пораки.

„Со искористување на доверлива инфраструктура, овие напаѓачи ги заобиколуваат традиционалните безбедносни филтри, претворајќи ги алатките за продуктивност во средства за испорака на постојан далечински пристап,“ изјавија истражувачите на Cisco Talos, Шон Галагер и Омид Мирзаеи, во анализа објавена денес.

n8n е платформа за автоматизација на работни процеси која им овозможува на корисниците да поврзат различни веб-апликации, API-и и услуги со AI модели за синхронизација на податоци, изградба на агентски системи и извршување на повторувачки задачи базирани на правила.

Корисниците можат да се регистрираат за развивачка сметка без дополнителен трошок за да користат управувана cloud услуга и да извршуваат автоматизациски работни процеси без да поставуваат сопствена инфраструктура. Меѓутоа, со тоа се создава уникатен сопствен домен во формат – <име на сметка>.app.n8n.cloud – преку кој корисникот може да пристапи до своите апликации. Платформата исто така поддржува креирање на вебхукови за примање податоци од апликации и сервиси кога се активираат одредени настани. Ова овозможува иницирање на работен процес по прием на конкретни податоци. Во овој случај, податоците се испраќаат преку уникатен webhook URL.

Според Cisco Talos, токму овие вебхукови изложени преку URL – кои го користат истиот *.app.n8n[.]cloud поддомен – се злоупотребуваат во фишинг напади уште од октомври 2025 година.

„Вебхук, често нарекуван ‘обратен API’, овозможува една апликација да испорачува информации во реално време до друга. Овие URL адреси регистрираат апликација како ‘слушател’ за прием на податоци, кои можат да вклучуваат програмски преземена HTML содржина,“ објасни Talos.

„Кога URL адресата прима барање, следните чекори од работниот процес се активираат, враќајќи резултати како HTTP поток на податоци до апликацијата што го испратила барањето. Ако URL-то се отвори преку е-пошта, прелистувачот на примачот функционира како апликација што ги прима податоците, обработувајќи го излезот како веб-страница.“

Она што го прави ова значајно е што отвора нова можност за заканувачките актери да шират малициозен софтвер, додека одржуваат привид на легитимност, создавајќи впечаток дека потекнуваат од доверлив домен.

Заканувачките актери брзо го искористиле ова однесување за поставување n8n webhook URL адреси за испорака на малициозен софтвер и за отпечаток (fingerprinting) на уреди. Се наведува дека бројот на е-пораки што ги содржат овие URL адреси во март 2026 бил околу 686% поголем во споредба со јануари 2025.

Во една кампања забележана од Talos, откриено е дека напаѓачите вметнувале n8n webhook линк во е-пораки што се претставувале како споделен документ. Кликнувањето на линкот го носи корисникот на веб-страница што прикажува CAPTCHA, која по успешно решавање го активира преземањето на малициозен payload од надворешен сервер.

„Бидејќи целиот процес е содржан во JavaScript-от на HTML документот, преземањето на прелистувачот му изгледа како да доаѓа од n8n доменот,“ забележаа истражувачите. Крајната цел на нападот е испорака на извршна датотека или MSI инсталер кој служи како посредник за модифицирани верзии на легитимни алатки за далечинско следење и управување (RMM), како Datto и ITarian Endpoint Management, и нивно користење за воспоставување перзистентност преку поврзување со командно-контролен (C2) сервер.

Втор чест случај се однесува на злоупотребата на n8n за fingerprinting. Поточно, ова вклучува вметнување невидлива слика или tracking пиксел во е-пораките, кој е хостиран на n8n webhook URL. Штом пораката се отвори преку е-пошта клиент, автоматски се испраќа HTTP GET барање до n8n URL-то заедно со параметри за следење, како што е е-поштата на жртвата, што им овозможува на напаѓачите да ја идентификуваат.

„Истите работни процеси дизајнирани да им заштедат часови рачна работа на програмерите, сега се пренаменуваат за автоматизација на испорака на малициозен софтвер и fingerprinting на уреди поради нивната флексибилност, лесна интеграција и беспрекорна автоматизација,“ изјави Talos. „Додека продолжуваме да ја користиме моќта на low-code автоматизацијата, одговорност на безбедносните тимови е да обезбедат овие платформи и алатки да останат предност, а не слабост.“

Извори:

  • The Hacker News – n8n Webhooks Abused Since October 2025 to Deliver Malware via Phishing Emails The Hacker News