Atores maliciosos foram observados explorando o n8n, uma popular plataforma de automação de workflows com inteligência artificial (IA), para viabilizar campanhas sofisticadas de phishing, entregar payloads maliciosos e fazer fingerprinting de dispositivos por meio do envio de e-mails automatizados.
“Ao aproveitar uma infraestrutura confiável, esses invasores burlam filtros de segurança tradicionais e transformam ferramentas de produtividade em veículos para acesso remoto persistente”, afirmaram os pesquisadores Sean Gallagher e Omid Mirzaei, da Cisco Talos, em uma análise publicada hoje.
O n8n é uma plataforma de automação de workflows que permite conectar diferentes aplicações web, APIs e serviços de modelos de IA para sincronizar dados, criar sistemas agentic e executar tarefas repetitivas baseadas em regras.
Os usuários podem se cadastrar gratuitamente em uma conta de desenvolvedor para acessar um serviço gerenciado na nuvem e executar workflows de automação sem precisar configurar sua própria infraestrutura.
No entanto, isso cria um domínio personalizado no formato <nome_da_conta>.app.n8n.cloud, a partir do qual o usuário acessa suas aplicações.
A plataforma também oferece suporte à criação de webhooks para receber dados de apps e serviços quando determinados eventos são disparados.
Isso permite iniciar um workflow após o recebimento de certas informações.
Nesse caso, os dados são enviados por meio de uma URL única de webhook.
Segundo a Cisco Talos, são exatamente esses webhooks expostos por URL, que usam o mesmo subdomínio *.app.n8n[.]cloud, que vêm sendo abusados em ataques de phishing desde, pelo menos, outubro de 2025.
“Um webhook, frequentemente chamado de ‘reverse API’, permite que uma aplicação forneça informações em tempo real para outra.
Essas URLs registram uma aplicação como ‘listener’ para receber dados, que podem incluir conteúdo HTML obtido programaticamente”, explicou a Talos.
“Quando a URL recebe uma requisição, as etapas seguintes do workflow são acionadas, retornando os resultados como um fluxo de dados HTTP para a aplicação que fez a solicitação.
Se a URL for acessada via e-mail, o navegador do destinatário atua como a aplicação receptora e processa a saída como uma página web.”
O que torna isso relevante é que esse mecanismo abre uma nova porta para que atores maliciosos distribuam malware enquanto mantêm uma aparência de legitimidade, dando a impressão de que o conteúdo vem de um domínio confiável.
Os invasores rapidamente começaram a explorar esse comportamento para criar URLs de webhook no n8n com fins de entrega de malware e fingerprinting de dispositivos.
O volume de e-mails contendo essas URLs em março de 2026 teria sido cerca de 686% maior do que em janeiro de 2025.
Em uma campanha observada pela Talos, os invasores inseriram em e-mails um link de webhook hospedado no n8n, alegando se tratar de um documento compartilhado.
Ao clicar no link, a vítima era levada a uma página web que exibia um CAPTCHA e, após a conclusão da verificação, ativava o download de um payload malicioso a partir de um host externo.
“Como todo o processo fica encapsulado no JavaScript do documento HTML, o download parece, para o navegador, ter sido originado do domínio do n8n”, observaram os pesquisadores.
O objetivo final do ataque é entregar um executável ou um instalador MSI que sirva de canal para versões modificadas de ferramentas legítimas de Remote Monitoring and Management (RMM), como Datto e ITarian Endpoint Management, e usá-las para estabelecer persistência por meio de conexão com um servidor de command and control (C2).
Um segundo caso recorrente envolve o abuso do n8n para fingerprinting.
Nesse cenário, os atacantes embutem nos e-mails uma imagem invisível ou tracking pixel hospedado em uma URL de webhook do n8n.
Assim que a mensagem digital é aberta em um cliente de e-mail, ela envia automaticamente uma requisição HTTP GET para a URL do n8n, junto com parâmetros de rastreamento, como o endereço de e-mail da vítima, permitindo aos atacantes identificá-la.
“As mesmas workflows projetadas para economizar horas de trabalho manual dos desenvolvedores estão sendo reaproveitadas para automatizar a entrega de malware e o fingerprinting de dispositivos, graças à flexibilidade, à facilidade de integração e à automação fluida que oferecem”, afirmou a Talos.
“À medida que continuamos a explorar o poder da automação low-code, cabe às equipes de segurança garantir que essas plataformas e ferramentas permaneçam ativos, e não passivos.”
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...