«Безопасность? Не слышали». Почему Community Nodes в n8n — это русская рулетка

leer en español

n8n npm Google Ads OAuth Endor Labs цепочка поставок автоматизация вредоносные пакеты
«Безопасность? Не слышали». Почему Community Nodes в n8n — это русская рулетка
n8n npm Google Ads OAuth Endor Labs цепочка поставок автоматизация вредоносные пакеты

Публичные модули получили неограниченный доступ к самым важным корпоративным тайнам.

image

Недавняя атака на цепочку поставок затронула платформу автоматизации рабочих процессов n8n — злоумышленники загрузили в репозиторий npm вредоносные пакеты, замаскированные под легитимные модули для интеграции. Целью этой кампании, по данным Endor Labs, стало похищение OAuth-токенов разработчиков, с помощью которых можно получить доступ к сервисам вроде Google Ads, Stripe и Salesforce.

Вредоносные пакеты имитировали расширения для n8n и отображали привычные формы конфигурации. Пользователям предлагалось авторизовать доступ к своим аккаунтам, после чего токены сохранялись в хранилище платформы и незаметно передавались на сервер злоумышленников. Таким образом, атака затронула не просто отдельные учётные данные, а ключевую особенность n8n — централизованное хранилище чувствительной информации, используемой в десятках подключённых сервисов.

В общей сложности в кампании использовались восемь вредоносных пакетов, включая такие, как «n8n-nodes-hfgjf-irtuinvcm-lasdqewriit», «n8n-nodes-gasdhgfuy-rejerw-ytjsadx» и «n8n-nodes-danev». Авторами указаны пользователи под псевдонимами «kakashi-hatake», «zabuza-momochi», «dan_even_segler» и другие. Некоторые из них связаны и с другими библиотеками, которые до сих пор доступны для загрузки. При этом анализ части этих компонентов не выявил вредоносных функций, однако один из них, «n8n-nodes-zl-vietts», отмечен как использующий компонент с историей заражений.

Показательно, что одно из расширений, ранее связанное с вредоносной активностью — «n8n-nodes-gg-udhasudsh-hgjkhg-official» — было обновлено всего за несколько часов до публикации отчёта Endor Labs, что может свидетельствовать о продолжающейся кампании.

После установки вредоносные модули работали как обычные узлы сообщества n8n: отображали экраны настроек, сохраняли токены OAuth в зашифрованном виде, а затем расшифровывали их и передавали на внешний сервер при запуске сценария. Это первый зафиксированный случай, когда атака на цепочку поставок была направлена именно на экосистему n8n. Основной уязвимостью стала избыточная доверенность к сторонним расширениям, размещённым в открытом доступе.

Команда n8n уже заявила об угрозе, связанной с использованием узлов сообщества из репозитория npm. Такие модули имеют те же права доступа, что и сама платформа: они могут обращаться к переменным окружения, файловой системе, выполнять сетевые запросы и, самое главное, получать расшифрованные токены. Отсутствие изоляции кода и возможности запуска в песочнице делает подобные узлы потенциально опасными.

На самих инстансах n8n, развёрнутых локально, специалисты рекомендуют полностью отключить возможность подключения узлов сообщества — для этого необходимо установить параметр N8N_COMMUNITY_PACKAGES_ENABLED в значение false. Также рекомендуется проверять метаданные перед установкой модулей и по возможности использовать только официальные расширения.