Atacantes têm utilizado pacotes maliciosos no registro npm para roubar credenciais OAuth de desenvolvedores que usam a plataforma de automação de workflows n8n.
Foram identificados oito pacotes que se apresentavam como integrações legítimas para o n8n, mas, na verdade, capturavam tokens de acesso e os enviavam para servidores controlados pelos criminosos.
Um exemplo é o pacote “n8n-nodes-hfgjf-irtuinvcm-lasdqewriit”, que simulava uma integração com o Google Ads.
Ao solicitar o vínculo da conta do usuário, coletava as credenciais armazenadas na plataforma.
Segundo relatório da Endor Labs, essa campanha representa uma escalada nas ameaças à supply chain.
“Diferentemente do malware comum no npm, que mira credenciais de desenvolvedores, esses ataques exploram plataformas de automação que funcionam como cofres centralizados, contendo OAuth tokens, chaves de API e outras informações sensíveis para serviços como Google Ads, Stripe e Salesforce.”
Os oito pacotes maliciosos já foram removidos do registro, mas apresentavam números significativos de downloads, chegando a milhares de instalações.
Entre os autores identificados, destacam-se os usuários “kakashi-hatake”, “zabuza-momochi” e outros, que também publicaram outras bibliotecas ainda disponíveis, algumas com histórico suspeito de malware.
Além disso, o pacote “n8n-nodes-gg-udhasudsh-hgjkhg-official”, associado a um dos autores, foi atualizado recentemente, indicando que a campanha pode continuar ativa.
Ao ser instalado como um node da comunidade, o pacote malicioso age como uma integração legítima, salvando tokens OAuth do Google Ads de forma criptografada no n8n.
Durante a execução do workflow, ele decripta essas credenciais usando a chave mestre do n8n e as exfiltra para servidores externos.
Esse ataque revela uma vulnerabilidade inédita na supply chain do ecossistema n8n, em que a confiança nas integrações comunitárias é explorada para comprometer ambientes inteiros.
Especialistas recomendam cautela na instalação de pacotes: auditar o código, analisar metadados e preferir integrações oficiais para reduzir riscos.
O próprio n8n alerta para o perigo dos nodes comunitários do npm, que podem executar ações maliciosas no servidor onde são executados.
Em instalações self-hosted, a orientação é desabilitar esses nodes configurando a variável N8N_COMMUNITY_PACKAGES_ENABLED como false.
Pesquisadores afirmam que nodes da comunidade têm o mesmo nível de acesso do próprio n8n, podendo ler variáveis de ambiente, acessar o sistema de arquivos, realizar requisições de rede e manipular chaves e tokens durante o fluxo de trabalho.
Não há sandboxing nem isolamento entre o código do node e o runtime do n8n.
Com isso, um único pacote malicioso pode roubar dados críticos e se comunicar sem levantar suspeitas.
Essa campanha evidencia a vulnerabilidade que integrações externas podem trazer ao expandir a superfície de ataque, reforçando a necessidade de controles rigorosos no uso de componentes de terceiros em plataformas de automação.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...