Οι εισβολείς έχουν διεισδύσει επιτυχώς στο οικοσύστημα κόμβων κοινότητας του n8n χρησιμοποιώντας ένα κακόβουλο πακέτο npm που είναι μεταμφιεσμένο ως νόμιμο εργαλείο ενσωμάτωσης του Google Ads.
Η επίθεση αποκαλύπτει μια κρίσιμη ευπάθεια στον τρόπο με τον οποίο οι πλατφόρμες αυτοματισμού ροής εργασίας χειρίζονται ενσωματώσεις τρίτων και διαπιστευτήρια χρήστη.
Το κακόβουλο πακέτο, με το όνομα n8n-nodes-hfgjf-irtuinvcm-lasdqewriit, ξεγέλασε τους προγραμματιστές να εισαγάγουν τα διαπιστευτήριά τους στο Google Ads OAuth μέσω μιας φαινομενικά αυθεντικής φόρμας διαπιστευτηρίων.
.webp.jpeg "Χάκερ διείσδυσαν στο οικοσύστημα του κοινοτικού κόμβου του n8n με ένα οπλισμένο πακέτο npm")
Γιατί το n8n είναι στόχος
Μόλις υποβληθεί, ο κακόβουλος κώδικας έκλεψε σιωπηλά αυτά τα διαπιστευτήρια και τα έστειλε σε έναν διακομιστή που ελέγχεται από τον εισβολέα κατά την εκτέλεση της ροής εργασίας.
Αυτή η επίθεση στην αλυσίδα εφοδιασμού αντιπροσωπεύει μια νέα κλιμάκωση των απειλών για την ασφάλεια στον κυβερνοχώρο, εκμεταλλευόμενη την εμπιστοσύνη που έχουν οι προγραμματιστές σε ενσωματώσεις που διατηρούνται από την κοινότητα εντός πλατφορμών αυτοματισμού.
Το n8n λειτουργεί ως ένα κεντρικό θησαυροφυλάκιο διαπιστευτηρίων, αποθηκεύοντας διακριτικά OAuth και κλειδιά API για δεκάδες ενσωματωμένες υπηρεσίες, όπως το Google Ads, το Stripe και το Salesforce, σε μία τοποθεσία.
.webp.jpeg "Χάκερ διείσδυσαν στο οικοσύστημα του κοινοτικού κόμβου του n8n με ένα οπλισμένο πακέτο npm")
Αυτό καθιστά τον συμβιβασμό ακόμη και ενός μεμονωμένου κοινοτικού κόμβου απίστευτα πολύτιμο για τους εισβολείς, καθώς τους δίνει πρόσβαση στο συνδεδεμένο ψηφιακό οικοσύστημα ενός ολόκληρου οργανισμού.
Η αρχιτεκτονική της πλατφόρμας n8n την καθιστά ιδιαίτερα ευάλωτη. Οι κοινοτικοί κόμβοι εκτελούνται με πλήρη πρόσβαση στο λειτουργικό σύστημα, μπορούν να διαβάζουν μεταβλητές περιβάλλοντος και να έχουν πρόσβαση σε συστήματα αρχείων.
.webp.jpeg "Χάκερ διείσδυσαν στο οικοσύστημα του κοινοτικού κόμβου του n8n με ένα οπλισμένο πακέτο npm")
Κάντε αιτήματα εξερχόμενου δικτύου κληρονομώντας ουσιαστικά το ίδιο επίπεδο εμπιστοσύνης με την ίδια την κεντρική πλατφόρμα.
Το εύρος του προβλήματος
Οι ερευνητές της Endorlabs εντόπισαν τουλάχιστον οκτώ κακόβουλα πακέτα npm που στοχεύουν το οικοσύστημα n8n. Μόνο το κύριο κακόβουλο πακέτο πέτυχε πάνω από 3.400 εβδομαδιαίες λήψεις πριν από την αφαίρεση.
.webp.jpeg "Χάκερ διείσδυσαν στο οικοσύστημα του κοινοτικού κόμβου του n8n με ένα οπλισμένο πακέτο npm")
Πολλά πακέτα έχουν αφαιρεθεί από το μητρώο npm, τα οποία παρακολουθούνται μέσω συμβουλών ασφαλείας, όπως το GHSA-77g5-qpc3-x24r.
EndorLabs προτρέπει τους οργανισμούς να δώσουν προτεραιότητα στους επίσημους κόμβους n8n έναντι των εναλλακτικών της κοινότητας και να ελέγχουν προσεκτικά τα πακέτα πριν από την εγκατάσταση.
Ελέγξτε τις λεπτομέρειες του πακέτου για προειδοποιητικά σημάδια όπως κακές περιγραφές, περίεργα ονόματα και πολύ χαμηλό αριθμό λήψεων.
Η παρακολούθηση της εξερχόμενης κίνησης δικτύου από περιπτώσεις n8n και η χρήση απομονωμένων λογαριασμών υπηρεσιών με ελάχιστα προνόμια μπορεί επίσης να μειώσει σημαντικά τον κίνδυνο έκθεσης.
Αυτή η επίθεση αντικατοπτρίζει προηγούμενους συμβιβασμούς στην αλυσίδα εφοδιασμού που στοχεύουν τις ροές εργασίας GitHub Actions, αποδεικνύοντας ότι οι φορείς απειλών προσαρμόζουν συνεχώς τις τακτικές τους για να εκμεταλλευτούν τις αναδυόμενες πλατφόρμες αυτοματισμού.
Καθώς η αυτοματοποίηση ροής εργασιών γίνεται ολοένα και πιο κεντρικός στις επιχειρηματικές λειτουργίες, οι οργανισμοί πρέπει να εξισορροπούν την άνεση με τις επιπτώσεις της ασφάλειας των ενσωματώσεων που παρέχονται από την κοινότητα.
